En los últimos meses he visto cómo el debate sobre la inteligencia artificial se queda en lo superficial: si sustituye a los redactores, si pinta iconos o si tu negocio necesita un chatbot. Vale, pero hay un sitio donde el cambio es más inmediato y más sucio: el fraude y el phishing. Cuando leo que la IA generativa baja la barrera de entrada para campañas de engaño hiperpersonalizadas, no lo digo para alarmarte gratis; lo digo porque encaja con lo que ya estamos empezando a ver en el terreno.
En la práctica, lo que antes requería tiempo (redactar correos creíbles, adaptar el tono a una empresa concreta, probar variantes) se puede acortar muchísimo. Eso no significa que cada ataque sea perfecto, pero sí que el volumen y la velocidad suben. Y en seguridad, el problema no es solo el usuario que pincha un enlace: es también el equipo que tiene que priorizar alertas cuando el ruido se multiplica.
Qué cambia de verdad
Lo que me preocupa no es tanto el correo con faltas de ortografía que ya nadie se cree. Es el mensaje que encaja con el contexto: un proveedor que te suena, un asunto que cuadra con un pago pendiente, un tono corporativo razonable. La IA no inventa la vulnerabilidad humana, pero sí puede alimentarla con menos fricción. Si además automatizas pruebas A/B del engaño, el atacante gana iteraciones.
Otro frente que se comenta en medios especializados es la atribución: cuando el contenido generado tiende a un estilo más uniforme, algunas pistas que antes ayudaban a enlazar un ataque con un grupo concreto pierden fuerza. No es que desaparezca el análisis forense, pero sí que parte del relato público sobre «quién ha sido» se vuelve más incómodo. En incidentes reales eso se traduce en más tiempo y más incertidumbre, y en pymes con pocos recursos eso se nota.
Qué puedes hacer sin volverte paranoico
No hace falta un discurso apocalíptico. Yo suelo recomendar tres cosas muy básicas y sí, te van a sonar a oficina, pero funcionan:
- Verificación fuera de banda: si alguien te pide un cambio de cuenta bancaria o una transferencia urgente, el cierre del trato no es el mismo correo. Una llamada, un segundo canal, un comprobante interno. Aburrido y efectivo.
- Menos confianza en el «parece legítimo»: el diseño y el lenguaje ya no son señales suficientes. Hace falta mirar dominios, cabeceras y procedimiento, no solo la pintura.
- Formación corta y frecuente: mejor cinco minutos cada mes que un maratón anual del que nadie se acuerda. El objetivo es el hábito, no el certificado.
En entornos con WordPress o correo en proveedor compartido, suma una capa: actualizar, revisar plugins con permisos amplios y separar cuentas con privilegios. No es glamuroso, pero reduce superficie.
El punto ciego que nadie quiere nombrar
Aquí viene la parte incómoda. Muchas empresas quieren «IA» en la landing, pero no quieren invertir en detección, registro ni respuesta. La herramienta nueva no arregla un proceso viejo; lo acelera. Si tu política de accesos es un caos, la IA del atacante solo hace que el caos escale más rápido.
También hay un sesgo: hablamos mucho del usuario final y poco de la cadena de suministro de datos que alimenta esos mensajes creíbles. Fugas previas, metadatos publicos, info de RRHH filtrada… La IA no crea el contexto de la nada; lo condensa y lo embellece. Por eso me parece tan importante trabajar el dato mínimo necesario y revisar qué queda expuesto sin querer.
En resumen: la IA generativa no es «mala» por sí misma, pero sí está cambiando el coste de producir engaño creíble. Si tu plan de ciberseguridad sigue basado en correos con faltas como principal señal de alarma, vas tarde. No hace falta dramatizar; hace falta actualizar el guion.
Fuentes
- Computerworld España: la IA generativa y la barrera de entrada en phishing y fraude digital
- WeLiveSecurity: desafíos de la inteligencia artificial generativa
- Infobae: IA y ciberseguridad, atribución y precisión en ataques digitales
Si mañana tu proveedor de email te propone un filtro «con IA» pero no te explica qué datos usa ni qué ocurre cuando falla, ¿lo firmas igual?