Kaspersky acaba de publicar un dato que me ha dejado incómodo: entre enero y mayo de 2026 han detectado más de 92.000 ciberataques que usaban aplicaciones falsas de inteligencia artificial. No hablamos de phishing genérico con un logo mal recortado. Hablamos de instaladores que imitan ChatGPT, Claude o Gemini, distribuidos como si fueran la herramienta de moda que todo el mundo quiere probar en el portátil del trabajo.
El 49% de esos ataques pasó por apps fraudulentas de ChatGPT. Claude y Gemini se repartieron otro 18% cada uno. Y encima encontraron más de 15.000 muestras de malware camufladas como herramientas de IA emergentes, incluyendo versiones falsas de OpenClaw. Si gestionas webs, hosting o equipos técnicos en una pyme, esto no es una anécdota de un informe lejano: es el tipo de incidente que empieza porque alguien del marketing quiso «probar una IA gratis» sin pasar por IT.
Lo que más me molesta no es la cifra en sí. Es lo que revela sobre cómo estamos adoptando la IA generativa en las empresas. Llevamos meses hablando de agentes autónomos, gobernanza y leyes europeas, pero el vector de entrada más gordo sigue siendo el mismo de siempre: un ejecutable descargado fuera de canal, con permisos de administrador y cero visibilidad para el responsable de sistemas.
En mayo, el grupo APT Silver Fox lanzó una campaña específica contra usuarios que buscaban instalar Claude AI en Windows, macOS y Linux. No necesitaban hackear tu servidor WordPress ni explotar un plugin desactualizado. Solo necesitaban que alguien con prisa buscara «Claude descargar gratis» y hiciera doble clic. Si tienes clientes o empleados que trabajan con contenidos, diseño o desarrollo, seguro que conoces a alguien en ese perfil.
Y aquí viene la parte incómoda. Muchas empresas han invertido en formación sobre prompt injection, en políticas de uso de Copilot o en auditorías de cumplimiento del AI Act, pero no han hecho lo básico: bloquear instalaciones no autorizadas y enseñar que ninguna IA seria se distribuye por un .exe de un dominio raro. Check Point lo resume bien en su hub de seguridad para empresas: cuanto más acceso y autonomía tiene un sistema de IA, mayor es el impacto de un compromiso. Un malware disfrazado de asistente no solo roba credenciales; puede quedarse ejecutándose en segundo plano mientras el usuario cree que está chateando con un modelo.
Los medios en inglés llevan semanas empujando otra conversación: la de los agentes y la identidad. Encuestas de Strata Identity citadas en varios análisis de 2026 apuntan a que el 44% de las organizaciones sigue usando API keys estáticas para agentes de IA, y que el 80% no tiene visibilidad en tiempo real de qué agentes están activos. Eso encaja con lo que veo en proyectos reales: todo el mundo quiere conectar un agente al CRM, al WooCommerce o al panel de Plesk, pero casi nadie ha hecho un inventario de qué credenciales tiene cada integración ni quién las rotó por última vez.
CSO Online publicó a principios de mayo un artículo que me parece más útil que la mayoría de checklists corporativos: un grupo de investigadores sostiene que no puedes asegurar agentes de IA haciendo el modelo más robusto. Hay que tratar el modelo como un componente no confiable y poner controles a nivel de sistema: aislamiento en runtime, privilegio mínimo, observabilidad del flujo de trabajo. Traducido: dejar de pensar que con «prompts seguros» basta y empezar a diseñar contenedores, permisos granulares y logs que un humano pueda revisar cuando algo raro ocurre.
¿Y qué pasa con los ataques que ni siquiera necesitan que instales nada? Xataka ha cubierto esta semana un experimento de investigadores de China y Singapur: audio manipulado, indetectable al oído humano, capaz de inyectar instrucciones en modelos de voz. Lo llaman mezcla convolucional y suena a ciencia ficción hasta que recuerdas que ya tienes compañeros escuchando podcasts mientras tienen abierto un asistente con acceso al calendario y al correo. De momento el ataque se ha demostrado sobre todo en modelos open source, pero advierten de que el audio malicioso puede transferirse a modelos cerrados una vez entrenado. Si tu estrategia de seguridad IA se basa en «usamos solo APIs oficiales de Google o OpenAI», este vector te desmonta la sensación de control en cinco minutos.
WeLiveSecurity, desde el lado más clásico de la ciberseguridad, sigue insistiendo en los cinco grandes riesgos de la IA generativa: moderación de contenidos, derechos de autor, privacidad, ética y desinformación. Son válidos, pero me parecen incompletos para 2026 si los lees sin el contexto operativo. Hoy el riesgo inmediato para una pyme no es tanto que ChatGPT genere un deepfake de tu CEO, sino que alguien del equipo instale una IA falsa, conecte un agente con permisos excesivos y deje una API key estática en un plugin de WordPress que nadie audita.
Lo que echo en falta en casi todos los discursos comerciales es honestidad sobre el shadow AI. Las herramientas oficiales son caras, lentas de aprobar o directamente bloqueadas por IT. Entonces la gente busca alternativas. Y los atacantes lo saben. Kaspersky no está contando una moda pasajera: está describiendo un mercado paralelo que crece al mismo ritmo que la curiosidad corporativa por la IA generativa.
En mi experiencia, las medidas que de verdad reducen superficie de ataque son menos glamurosas que un framework de gobernanza con PowerPoint de 40 diapositivas. Lista corta: inventario de qué herramientas de IA usa cada departamento, bloqueo de instalaciones fuera de tienda oficial o repositorio aprobado, rotación de claves de API vinculada a proyectos concretos (no una key compartida «para probar cosas»), y formación que empiece por «si te piden descargar ChatGPT como .exe, es mentira» antes de explicar qué es un prompt injection.
Tampoco sirve de mucho culpar al usuario final. Si la empresa exige velocidad y creatividad pero no ofrece un canal seguro para experimentar con IA, estás fabricando el problema que luego pagas en incidentes. El informe de Kaspersky recomienda visibilidad, respuesta avanzada y monitoreo continuo. Correcto. Pero eso implica presupuesto y procesos que muchas pymes de hosting y servicios web aún no tienen ni para el correo corporativo, no digamos ya para agentes conectados al backoffice.
Me preocupa especialmente el ecosistema WordPress y WooCommerce. Montar un plugin que «añade IA a tu tienda» es trivial. Distinguir uno legítimo de uno que exfiltra pedidos y datos de clientes requiere revisar código, permisos REST y de dónde tira las llamadas externas. Con 92.000 ataques en cinco meses usando la marca de la IA como señuelo, el próximo vector puede ser un plugin falso en un foro o un supuesto «conector ChatGPT para WooCommerce» en una web de descargas pirata. Si ya te ha pasado con temas nulled, sabes a dónde va esto.
No escribo esto para asustar ni para venderte un servicio de ciberseguridad integral. Escribo porque veo demasiado postureo sobre «IA responsable» mientras el 80% de las empresas no sabe qué agentes tiene en producción y el usuario medio sigue sin distinguir una app oficial de un instalador fraudulenta. Los números de Kaspersky son el recordatorio de que la capa más débil no es el modelo de lenguaje: es la prisa por adoptar la herramienta de moda sin leer la letra pequeña del archivo que acabas de ejecutar.
Si mañana detectaras en tu red una instalación no autorizada de «Claude AI» o «ChatGPT desktop» descargada fuera de los canales oficiales, ¿sabrías en menos de una hora qué credenciales ha tocado, qué datos ha leído y si sigue activa, o tendrías que reconstruirlo a base de correos nerviosos con el departamento que «solo quería probar una cosa»?