Lo que cambia cuando el atacante usa inteligencia artificial

El Centro Criptológico Nacional acaba de publicar una guía dedicada a la IA ofensiva, la BP/36. No es un documento alarmista ni de ciencia ficción, es un organismo público serio reconociendo algo que ya está pasando, que los atacantes usan inteligencia artificial en campañas reales.

Conviene leerlo con calma, porque lo que describe no afecta solo a la Administración. Afecta a cualquier empresa, también a la vuestra, porque cambia una cosa muy concreta del cálculo de riesgo, el tiempo.

La IA no inventa ataques nuevos, los acelera

La idea más importante de la guía no es que aparezcan amenazas nunca vistas. Es que las de siempre se vuelven más rápidas, más baratas y más fáciles de lanzar a gran escala. El phishing, el reconocimiento, la búsqueda de fallos, todo eso ya existía. La IA solo le ha quitado el freno.

Los números que recoge el informe lo dejan claro. Un correo de phishing escrito con IA acierta mucho más que uno tradicional. El reconocimiento de una víctima, que antes llevaba horas de trabajo manual, ahora es automático y constante. Hay escaneos masivos buscando puertas abiertas a un ritmo que ninguna persona podría igualar.

Según los datos que cita el CCN-CERT, el phishing apoyado en IA llega a tener una tasa de éxito del 54 por ciento, frente al 12 por ciento de las campañas de siempre. No es una mejora pequeña, es multiplicar por más de cuatro la probabilidad de que alguien pique.

El tiempo de reacción se encoge

Para una empresa, la consecuencia práctica de todo esto se resume en una palabra, velocidad. Antes, entre que se descubría un fallo y alguien lo aprovechaba pasaba un tiempo, a veces semanas. Ese margen era vuestro colchón para enteraros, parchear y cerrar la puerta.

Ese colchón se está deshaciendo. La guía lo dice sin rodeos, hay que asumir que la ventana entre que se publica un parche y alguien explota ese fallo es mínima. La IA permite pasar de detectar una oportunidad a atacarla a velocidad de máquina, sin que un humano tenga que estar delante.

La frase de la guía que más os interesa

Entre todas las recomendaciones del documento hay una que resume el cambio de mentalidad mejor que ninguna. Hay que asumir que cualquier vulnerabilidad que tengáis en producción será descubierta antes por un atacante.

Leedla otra vez, porque lo cambia todo. No dice que podría pasar, dice que hay que darlo por hecho. Si tenéis un fallo expuesto, la pregunta ya no es si lo encontrarán, es si lo encontraréis vosotros primero. Con un atacante que automatiza la búsqueda, llegar segundos tarde es llegar tarde del todo.

Lo que esto significa en la práctica

La respuesta que plantea la guía no es comprar una herramienta mágica de IA defensiva. Es algo más sensato, volver a lo básico y hacerlo bien. Saber qué tenéis expuesto en todo momento, reducir la superficie que un atacante puede mirar, parchear rápido lo que de verdad importa y dar por sentado que en algún momento alguien entrará.

Hay además una parte que encaja justo con lo que hacemos. Si hay que asumir que un atacante encontrará vuestros fallos antes que vosotros, la única forma de adelantaros es buscarlos vosotros primero, con la misma mentalidad ofensiva que ahora va potenciada por IA.

Que un organismo como el CCN-CERT dedique una guía entera a esto no es para asustar, es una señal de que el terreno ha cambiado. La buena noticia es que la defensa de fondo sigue siendo la misma de siempre, mirar vuestra propia seguridad con los ojos de quien os quiere atacar, solo que ahora hay menos tiempo para hacerlo. De eso hablábamos en por qué auditar cuesta menos que una brecha.

---

Si queréis saber qué encontraría hoy un atacante en vuestros sistemas antes de que lo haga de verdad, escribidnos a [email protected].