Cuando la Inteligencia Artificial se vuelve contra nosotros

• OLIVER GOWER*

• Compartir en Facebook
• Compartir en Twitter
• Compartir en LinkedIn
• Enviar por email

No podemos renunciar a la inteligencia artificial. Es el motor de la próxima década de crecimiento económico, innovación científica y transformación social. Pero tampoco podemos adoptarla con ingenuidad.

La carrera tecnológica tiene ganadores y perdedores. Y en el ámbito de la ciberseguridad, las empresas españolas están perdiendo terreno. No porque carezcan de talento o inversión, sino porque las reglas del juego cambiaron radicalmente en 2025 sin que muchas organizaciones se hayan dado cuenta.

La Inteligencia Artificial (IA) ya no es solo esa promesa de productividad que puebla las presentaciones corporativas. Se ha convertido en un arma utilizada con frecuencia por el cibercrimen, capaz de ejecutar 36.000 intentos de intrusión por segundo. Para ponerlo en perspectiva: mientras un equipo de seguridad tradicional analiza una alerta, un sistema automatizado por IA ya ha escaneado vulnerabilidades en miles de servidores, extraído credenciales y filtrado información confidencial. Todo ello sin pausas para el café.

Los datos son elocuentes. Los ataques potenciados por IA han crecido un 72% en el último año según el informe "ThreatLabZ 2024 Ransomware" de Zscaler. Sin embargo, lo verdaderamente inquietante no es el volumen, sino la democratización de estas capacidades. Lo que antes requería equipos especializados, presupuestos millonarios y respaldo estatal, ahora está al alcance de grupos criminales e incluso individuos con conocimientos técnicos básicos.

Aquí radica el primer gran error estratégico de muchas organizaciones: seguir confiando en defensas diseñadas para un mundo que ya no existe. Los firewall y antivirus tradicionales fueron pensados para contener amenazas humanas, con ritmos humanos. Pero la IA ofensiva opera las 24 horas, los 7 días de la semana, con una velocidad y escala que supera cualquier capacidad de monitorización humana. La ecuación es brutal en su simplicidad: si tu defensa depende de una persona para detectar y responder, ya has perdido. Los atacantes no duermen, no se distraen, no cometen errores por fatiga. Son máquinas optimizadas para una única tarea: penetrar sistemas.

Y esto lleva al segundo gran error, más sutil pero igual de peligroso. Muchas empresas han comenzado a incorporar Inteligencia Artificial en sus operaciones —análisis de datos, atención al cliente, optimización de procesos— sin comprender que esos mismos sistemas pueden convertirse en puertas traseras. El caso de Anthropic, donde un modelo de IA fue manipulado para ejecutar el primer ataque cibernético verdaderamente autónomo y documentado a gran escala, debería quitar el sueño a cualquier director de tecnología. No se trata solo de que te ataquen con IA. Se trata de que tu propia IA puede ser utilizada contra ti o tus clientes. Pensemos ahora en las implicaciones geopolíticas. Los estados pueden desplegar agentes autónomos capaces de recopilar información estratégica o sabotear infraestructuras críticas sin exponer personal humano. Son espías digitales que operan de forma casi independiente, tomando decisiones tácticas, priorizando objetivos y generando informes para sus operadores. Pero la amenaza no viene solo de actores estatales. La barrera de entrada se ha desplomado tanto que la distinción entre ciberespionaje gubernamental y cibercrimen común se ha vuelto irrelevante.

Desde Pekín hasta un sótano en cualquier ciudad europea, la capacidad ofensiva es cada vez más similar.

Para una empresa financiera, una farmacéutica o un proveedor de infraestructuras críticas, esto significa una cosa: todos son objetivos potenciales, y todos carecen de las defensas adecuadas. El 83% de los expertos en tecnología en España anticipa un aumento significativo de estos ataques en los próximos años, según el estudio 'Ciberdefensa e IA: ¿Estás listo para proteger tu organización?' de Kaspersky. Y sin embargo, la respuesta corporativa sigue siendo tibia, reactiva y atrapada en procedimientos obsoletos. En comparación, el 72% de las 500 mayores empresas del Reino Unido ya revela el uso de la inteligencia artificial en sus informes anuales, lo que obliga a una supervisión a nivel de consejo de administración y refleja que la IA se ha convertido en un riesgo material para el negocio. Es momento, por tanto, de formular las cuestiones que muchos consejos de administración prefieren evitar: ¿Tiene su organización control real sobre los desarrollos de inteligencia artificial que implementa? ¿Qué ocurriría si esos sistemas fueran comprometidos y utilizados para atacar a clientes o socios? ¿Están preparados legal, organizativa y técnicamente para responder a amenazas autónomas?

Si estas preguntas generan incomodidad, es porque revelan una verdad inconveniente: muchas empresas españolas están operando con una falsa sensación de seguridad. Han invertido en tecnología sin invertir en gobernanza ni comprender realmente las amenazas a las que se enfrentan. Han adoptado inteligencia artificial sin adoptar responsabilidad. La solución no es simple, pero tampoco es misteriosa. Requiere cuatro pilares fundamentales que deben implementarse de manera coordinada y urgente.

En primer lugar, una gobernanza interna estricta. Políticas claras sobre quién puede usar inteligencia artificial, para qué propósitos, con qué controles y bajo qué auditorías. Sin esto, cada implementación es una ruleta rusa. Conviene no dejarse llevar por una falsa sensación de seguridad basada en las garantías ofrecidas por el proveedor de la herramienta de IA. El proveedor es responsable de la calidad del modelo, pero el riesgo recae en quien lo despliega. Cuando una organización integra la IA de un tercero en su infraestructura interna, que puede contener datos sensibles de clientes, se genera una brecha de integración de alto riesgo. Por ello, las pruebas independientes y los ejercicios de red teaming sobre los despliegues de IA son esenciales. En segundo lugar, preparación regulatoria. El AI Act europeo no es burocracia molesta; es el marco que separará a las organizaciones responsables de las negligentes. Las empresas que lo anticipen tendrán ventaja competitiva; las que lo ignoren enfrentarán sanciones y daño reputacional. El Reglamento Europeo de Inteligencia Artificial establece las sanciones más elevadas jamás impuestas en la Unión Europea por fallos de gobernanza, con multas de hasta 35 millones de euros o el 7% de la facturación anual global, lo que convierte la inacción en una responsabilidad financiera potencialmente catastrófica.

En tercer lugar, formación continua. Las herramientas más sofisticadas son inútiles sin equipos capacitados para detectar anomalías, reconocer patrones de ataque y operar bajo protocolos seguros. La ciberseguridad es, ante todo, cultura organizativa. Y en cuarto lugar, colaboración sectorial. Los atacantes operan sin fronteras; la defensa no puede permitirse el lujo del aislamiento. Gobiernos, reguladores, empresas y organismos de seguridad deben establecer protocolos conjuntos de respuesta, intercambio de información y mitigación rápida.

No podemos renunciar a la inteligencia artificial. Es el motor de la próxima década de crecimiento económico, innovación científica y transformación social. Pero tampoco podemos adoptarla con ingenuidad. Y el tiempo para decidir bien se agota más rápido que 36.000 intentos de intrusión por segundo.

*Oliver Gower, senior managing director FTI Consulting

• Opinión
• Inteligencia artificial

• 13:07

  Tressis está cómoda con la concentración tecnológica

• 13:03

  JPMorgan y Brookfield prevén un resurgir de las fusiones y adquisiciones en energía limpia

• 12:46

  Malasa, proveedor de Inditex, vuelve a manos de la familia fundadora tras la salida de Hortensia Herrero

• 12:42

  BBVA invertirá 213 millones de euros en un vehículo de inversión climática de Altérra

• 12:35

  Cuando la Inteligencia Artificial se vuelve contra nosotros