La inteligencia artificial está cambiando la forma en que los ciberdelincuentes manipulan el comportamiento humano.
Las características que alguna vez fueron destacadas de los correos electrónicos de phishing, como frases incómodas, saludos genéricos y formatos torpes, están siendo reemplazadas por mensajes pulidos y contextualmente conscientes creados por grandes modelos de lenguaje.
La tecnología deepfake ahora puede clonar la voz de un director ejecutivo para crear un mensaje de video creíble en minutos. Esta táctica ya se está utilizando para defraudar a empresas por millones de dólares.
En el informe Ingeniería social y elementos humanos de LevelBlue, el 59% de las organizaciones dijeron que a los empleados les resultaba difícil distinguir entre interacciones genuinas y falsas.
Gerente de Investigación de Seguridad en LevelBlue SpiderLabs.
Mientras tanto, los adversarios combinan cada vez más la ingeniería social impulsada por la IA con el compromiso de la cadena de suministro, el robo de credenciales y el reconocimiento automatizado.
Juntos, estos vectores están haciendo que la ingeniería social deje de ser un problema humano y se convierta en un riesgo empresarial sistémico.
Una brecha creciente
Esta brecha entre conciencia y acción se está ampliando. Si bien los controles tecnológicos continúan evolucionando, el comportamiento humano sigue siendo la vulnerabilidad más explotada.
Después de todo, parchear los sistemas de TI es más fácil que parchear a las personas. Los atacantes han aprendido que a menudo es más fácil engañar a una persona que hackear un sistema, y la IA les da la velocidad y precisión para hacer ambas cosas.
La nueva ventaja estratégica de la IA
Conmutación de vector dinámico: Los actores de amenazas pueden comenzar con un correo electrónico benigno, medir la participación (aperturas, clics) y luego girar dentro del mismo hilo para entregar una carga útil de voz o video. Esta agilidad hace que el entrenamiento de conciencia estática sea menos efectivo.
Creando personalidad a escala: Utilizando datos agregados de las redes sociales y volcados de violaciones, los adversarios pueden crear personajes digitales creíbles, completos con nombres, roles y tonos de voz, y usarlos para infiltrarse en las organizaciones.
Aumentar los deepfake: Se puede insertar audio o video generado por IA en medio de una conversación: “Lo siento, dejé mi teléfono en otra habitación; llámame a esta línea” o “Aquí hay instrucciones actualizadas para la transferencia bancaria”. Una voz familiar o un reconocimiento facial pueden hacer que los empleados bajen la guardia.
Incitación del adversario y encadenamiento de indicaciones: Los atacantes refinan iterativamente las indicaciones generativas de la IA: “hacer que suene más formal” o “incluir una línea sobre el desempeño trimestral”. Cada iteración hace que el mensaje sea más creíble y específico.
Estas técnicas oscurecen lo que parece “normal” en la comunicación digital. Incluso a los profesionales de seguridad experimentados les puede resultar difícil trazar la línea entre lo genuino y lo artificial.
¿Por qué la gente sigue obsesionada?
Las defensas técnicas como los filtros de correo electrónico, la arquitectura de confianza cero y la detección de anomalías son esenciales, pero los ataques habilitados por IA explotan el juicio, no el código. Cada campaña de ingeniería social depende en última instancia de las decisiones de las personas de hacer clic, compartir, aprobar o desaprobar.
Las organizaciones resilientes entienden que la verdadera seguridad implica tanto bloquear los sistemas como incorporar el criterio en los flujos de trabajo. Entonces, ¿cómo se logra ese equilibrio?
1. Compromiso ejecutivo y concienciación sobre la IA
La ingeniería social impulsada por la IA debería considerarse una amenaza crítica para las empresas. Los ejecutivos, los líderes de ingeniería y los equipos de DevOps necesitan visibilidad sobre cómo la IA puede apuntar a las API, los recorridos de los clientes o los procesos internos.
Cuando las juntas directivas incorporan el riesgo de la IA en la gobernanza junto con la escalabilidad y el cumplimiento, la inversión en personas coincide con la inversión en tecnología.
2. Simular la cadena de ataque de la IA
Las pruebas anuales de phishing ya no reflejan el panorama de amenazas actual. La práctica moderna del equipo rojo debería replicar los ataques mejorados por IA: encadenando correos electrónicos, mensajes de voz y deepfakes dentro de la misma simulación.
Realice un seguimiento de puntos de datos, como cuándo los usuarios notan inconsistencias y cómo reaccionan cada vez más ante el fraude. Esto ayuda a identificar dónde es más necesaria la capacitación o el refuerzo de procesos.
3. Detección de capas de IA con filtros humanos
Las organizaciones deben combinar motores de detección basados en IA, como deepfake, anomalías de voz y análisis de comportamiento, con verificación humana estructurada.
El contenido sospechoso activará una verificación de respuesta a desafío o una confirmación fuera de banda. La IA puede detectar inconsistencias, pero los humanos brindan contexto e intención. Juntos forman un circuito cerrado de defensa.
4. Benchmarking externo y formación evolutiva
Los actores de amenazas innovan constantemente y las defensas deben hacer lo mismo. Asociarse con expertos en ciberseguridad para evaluaciones periódicas del “Equipo rojo como servicio” ayuda a identificar puntos ciegos y actualizar la capacitación basada en técnicas de inteligencia artificial emergentes.
El aprendizaje modular continuo, actualizado trimestralmente con datos de amenazas en vivo, garantiza que los equipos estén alineados con las estrategias más recientes en lugar del manual del año pasado.
Desarrollar la resiliencia humana en la era de la IA
La IA generativa ha desdibujado los límites entre lo puro y lo artificial, pero también ha confirmado la importancia del juicio humano. La tecnología puede mostrar inconsistencias pero sólo los humanos pueden decidir creer, verificar o actuar.
Las organizaciones que estarán a la cabeza son las que reconocen esta interacción: combinar la defensa impulsada por la IA con una cultura que fomenta la curiosidad, la validación y el pensamiento crítico.
La ciberseguridad es más que una carrera contra la tecnología; Es una carrera para fortalecer el elemento humano en su esencia.
Hemos enumerado los mejores proveedores de correo electrónico seguros..
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
