Durante años, la IA en ciberseguridad fue sobre todo un argumento de marketing. Los proveedores hablaban de "detección inteligente de amenazas" y "respuesta automatizada" cuando en realidad tenían reglas de correlación más sofisticadas de lo habitual. Eso ha cambiado. En 2026, la IA ofensiva ya no es una amenaza teórica: está siendo usada por grupos organizados para automatizar fases completas de los ataques, y la diferencia en velocidad y escala es suficiente para invalidar muchos de los procesos defensivos que las organizaciones tienen establecidos.
El cambio más significativo no está en que la IA genere malware nuevo. Está en que automatiza el trabajo de reconocimiento y la ingeniería social a una escala que antes requería equipos humanos. Un grupo criminal con acceso a un modelo de lenguaje bien ajustado puede generar correos de phishing personalizados por industria, empresa y cargo, adaptar el tono según el objetivo y variar el contenido para eludir filtros de spam, todo a volumen industrial y sin intervención humana por correo enviado.
Qué fases del ataque se están automatizando
El ciclo de un ciberataque tiene etapas bien definidas: reconocimiento, acceso inicial, movimiento lateral, persistencia, exfiltración. La IA está siendo incorporada principalmente en las tres primeras.
En reconocimiento, los modelos procesan fuentes abiertas (LinkedIn, GitHub, redes sociales corporativas, documentos públicos) para construir perfiles de empleados y mapear la infraestructura expuesta. Lo que antes llevaba días de trabajo manual se hace en horas.
En acceso inicial, la IA genera y personaliza señuelos de phishing y spear phishing. Los correos ya no tienen los errores ortográficos ni la estructura genérica que los hacía detectables. Están escritos con el mismo registro que usaría un colega o un proveedor real, incluyendo referencias a proyectos internos obtenidos del reconocimiento previo.
En movimiento lateral, algunos grupos están usando modelos para analizar la estructura de la red comprometida y sugerir rutas de escalada de privilegios basadas en las vulnerabilidades detectadas. Todavía no es completamente autónomo, pero reduce el tiempo que un operador humano necesita para tomar decisiones.
El vector de las credenciales sigue siendo el más explotado
Los ataques más sofisticados no necesitan explotar vulnerabilidades de día cero. La mayoría empieza con credenciales comprometidas, obtenidas de brechas anteriores o de campañas de phishing. SentinelOne documentó más de 100.000 credenciales expuestas en proveedores de nube durante el último año, y el vector de desarrolladores que filtran tokens de acceso en repositorios públicos ha crecido más de un 100% en doce meses.
Con esas credenciales, el acceso a los entornos cloud es directo. No hay vulnerabilidad que parchear ni exploit que desarrollar: es una autenticación legítima con credenciales robadas. Los modelos de IA ayudan a encontrar esas credenciales de forma automatizada, rastreando repositorios de código, foros y bases de datos de brechas anteriores.
Qué significa esto para la defensa
El problema central es de velocidad. Si el tiempo entre el compromiso inicial y el movimiento lateral pasa de días a horas porque el atacante tiene automatización IA, los procesos de detección y respuesta que asumen un window de 24-72 horas dejan de ser efectivos. El tiempo medio para identificar y contener una brecha ronda los 241 días a nivel global. Con ataques que se mueven en horas, esa métrica es un diagnóstico en sí misma.
Las organizaciones que están respondiendo a este cambio lo hacen en dos frentes. El primero es la detección de anomalías en tiempo real: plataformas como Darktrace que modelan el comportamiento normal de la red y alertan de desviaciones, independientemente de si el vector de ataque es conocido o no. El segundo es reducir la superficie de credenciales expuestas: rotación regular, detección de secretos en código, autenticación multifactor en todos los accesos críticos.
El contexto regulatorio europeo añade presión adicional. DORA exige notificación de incidentes graves en el sector financiero en menos de 24 horas. NIS2 amplía esa obligación a 18 sectores. Las organizaciones que no tengan visibilidad en tiempo real de su entorno van a tener dificultades para cumplir esos plazos, además de para contener el daño. La transposición de NIS2 en España sigue siendo un tema pendiente que muchas empresas no tienen en su radar todavía.
La carrera entre ataque y defensa siempre ha existido. Lo que cambia en 2026 es que uno de los dos lados ha automatizado su parte del trabajo de forma mucho más efectiva que el otro, y los efectos de esa asimetría están empezando a notarse en los datos de incidentes.
0 Comentarios