Cuando la curva se vuelve vertical

Durante años hemos vivido con la sensación de que, en ciberseguridad, todo es una carrera: el atacante da un paso, la defensa responde. El juego del gato y el ratón. A veces el ratón gana, a veces el gato. Más o menos equilibrado.

Pero algo ha cambiado.

Desde que la inteligencia artificial irrumpió con fuerza, la línea dejó de ser una rampa y se convirtió en una pared. Una pendiente tan empinada que ya no podemos seguir escalando a la misma velocidad que los atacantes. Ellos ya no corren: vuelan. Iteran en segundos. Y nosotros, la mayoría, aún estamos decidiendo qué tipo de cuerdas usar para subir.

Algunos datos que no me dejaron indiferente

Hace un par de semanas estuve en el Barcelona Cybersecurity Congress , y algunas cifras me dejaron helado. Datos que no solo confirman lo que ya intuíamos, sino que lo amplifican con crudeza. Según cifras compartidas por SoSafe , durante una de las sesiones:

• El 88 % de los empleados puede ser perfilado fácilmente a partir de información pública. Esto permite crear ataques de spear phishing hiperpersonalizados, difíciles de detectar incluso por usuarios experimentados.

• El coste de lanzar un ataque de spear phishing ha caído del 100 % al 2 %, gracias al uso de inteligencia artificial generativa.

• Y lo más preocupante: la tasa de clics en correos maliciosos creados con IA ha subido del 12 % al 54 %.
  
  

Pero lo que más me impactó no fueron solo los datos, sino la tendencia que dibujan: el atacante ya no necesita grandes medios, ni tiempo, ni apenas conocimientos técnicos. Solo necesita acceso a una IA y conexión a un foro del dark web.

Y si a eso le sumamos que muchas organizaciones están integrando herramientas de IA sin revisar su seguridad, el resultado es una superficie de ataque que crece cada día sin que nadie la esté vigilando.

La IA no solo se está usando para atacar: también se está convirtiendo en una nueva superficie de ataque en sí misma.

Modelos mal configurados, logs que exponen información sensible, prompts inseguros, sistemas sin autenticación… cada nuevo asistente, copiloto o automatización sin controles básicos se convierte en una puerta abierta.

La ofensiva ha florecido

La inteligencia artificial generativa ha hecho que lanzar un ataque sea más fácil, más rápido y más rentable que nunca. Cualquiera puede generar correos de phishing perfectos, adaptar malware en tiempo real o automatizar campañas enteras sin escribir una sola línea de código. Herramientas como WormGPT o FraudGPT, versiones maliciosas de los LLMs, se alquilan en la dark web por el precio de una cena.

Además, estamos viendo el surgimiento de agentes autónomos capaces de encadenar acciones ofensivas: escanear, identificar vulnerabilidades, explotarlas y extraer información, sin necesidad de intervención humana. Lo que antes requería días de preparación y conocimiento técnico, ahora puede ejecutarse en minutos.

Y mientras tanto, en el lado defensivo…

La defensa se queda atrás

Las grandes empresas todavía pueden jugar. Tienen equipos de seguridad, presupuestos y acceso a las últimas herramientas. Pero las pymes —que representan más del 90 % del tejido empresarial europeo— están expuestas.

Muchas aún no tienen un EDR, ni backups inmutables, ni siquiera MFA activado en todos sus accesos. No por dejadez, sino porque el ritmo tecnológico se ha vuelto incompatible con sus capacidades. Los atacantes están iterando cada día; las pymes revisan su estrategia de ciberseguridad una vez al año.

El resultado es previsible: las pymes son el nuevo objetivo preferido. Son más fáciles, menos ruidosas, y muchas veces tienen datos igual de sensibles que una gran empresa.

¿Qué podemos hacer cuando no tenemos los mismos recursos?

La clave no está en intentar escalar con las mismas herramientas que usan los atacantes. No podemos igualar su músculo, pero sí podemos jugar con la misma inteligencia.

Y ahí es donde aparece el punto de inflexión: empezar a usar IA para defendernos. No hablo de soluciones caras o inaccesibles. Hablo de lo esencial:

• Contratar servicios gestionados que monitoricen tus sistemas 24/7.
• Automatizar respuestas a los incidentes más comunes.
• Formar al equipo con simulaciones realistas generadas por IA.
• Aplicar políticas de mínimo privilegio y revisar accesos de forma regular.
  

Y, sobre todo, estar bien cubierto.

No me refiero al típico seguro que aparece cuando ya es tarde. Hoy existen pólizas que van mucho más allá: responden cuando hay un ataque, sí, pero también trabajan contigo para evitar que ocurra. Incluyen herramientas de prevención, asesoramiento técnico y protocolos claros de actuación.

En Axyom apostamos por este tipo de coberturas porque creemos que la protección real no empieza con una indemnización, sino con evitar el desastre desde el principio. Para muchas pymes, es la pieza que completa el sistema defensivo.

No necesitas una torre de control, pero sí un plan

Lo he dicho muchas veces: la mayoría de las pymes no necesita un SOC interno.

Pero sí necesita una estrategia clara, actualizada y ejecutable.

Hoy más que nunca, la ciberseguridad no es solo protección: es velocidad.

La diferencia entre sobrevivir a un ataque o convertirse en estadística está en cuántos minutos tardas en detectar, contener y responder.

Ya no tenemos días. A veces, solo tenemos una hora.

En resumen

La ofensiva florece cuando la curva tecnológica se vuelve vertical.

Y hoy, esa curva es prácticamente una pared.

La buena noticia es que no hace falta ser una gran empresa para empezar.

La mala, es que esperar ya no es una opción.