En materia de ciberseguridad, la aparición de la IA generativa ha supuesto un punto de inflexión tanto desde el punto de vista ofensivo como defensivo. Hoy en día, las empresas se encuentran en primera línea frente a ciberataques cada vez más numerosos y sofisticados. Sin embargo, la principal amenaza a la que se enfrentan proviene del interior y tiene que ver con el factor humano.
Los ciberataques ya no son un privilegio exclusivo de los ciberdelincuentes profesionales. Herramientas como ChatGPT ofrecen, de hecho, a un gran número de personas la posibilidad de llevar a cabo campañas de phishing con facilidad. El resultado: un aumento del 40 % en los ataques digitales en cinco años[1]y casi una de cada dos empresas (47 %) ha sufrido al menos un ciberataque con éxito en 2024[2].
Los mensajes de ataque, ya sea por correo electrónico o a través de las redes sociales, están cada vez mejor redactados gracias a la IA generativa, lo que dificulta su identificación. La calidad de los ataques mejora, en particular la de los ataques dirigidos, que son cada vez más complejos y realistas.
El factor humano, principal factor de riesgo cibernético
En este contexto, las empresas se enfrentan a un doble reto: por un lado, se enfrentan a riesgos sin precedentes y, por otro, deben gestionar varios tipos de riesgos diferentes al mismo tiempo. En 2024, casi nueve de cada diez organizaciones (89 %) se enfrentaron a al menos dos tipos de riesgos[3]. Entre ellos, los riesgos humanos son motivo de preocupación para el 77 % de los directivos.
La razón: el 68 % de las vulnerabilidades siguen teniendo hoy en día un origen humano[4], ya sea por un error o por un ataque de ingeniería social. Ante esta realidad, la tecnología por sí sola ya no basta para contrarrestar los ataques. La sensibilización de los usuarios se impone ahora como la clave del éxito. Pero esta realidad exige un cambio de paradigma. ¿Por qué? Porque a las empresas les cuesta adoptar un enfoque eficaz.
Las empresas deben, ante todo, plantearse la utilidad de sus campañas de sensibilización y preguntarse si se ajustan al panorama actual de amenazas. Deben dotar de sentido a su formación y asociarla a un retorno de la inversión para lograr un impacto positivo en su producción.
¿Cómo? Cuantificando con precisión el riesgo y definiendo objetivos cuantificables para aplicar medidas de protección adecuadas y específicas.
Para una gestión inteligente del riesgo humano
Para determinar el nivel de riesgo es necesario evaluar una serie de indicadores: ¿está siendo objeto de ataques el usuario? ¿Recibe muchas amenazas? En caso afirmativo, ¿cómo reacciona ante un correo electrónico fraudulento? ¿Sus derechos de acceso a los sistemas de la empresa lo convierten en un objetivo prioritario?
La idea es elaborar un mapa de riesgos de los usuarios para enviar exclusivamente a las personas adecuadas las prácticas recomendadas frente a las amenazas específicas a las que se enfrentan. Es aquí donde la inteligencia artificial cobra todo su sentido, con una doble función: detectar las amenazas de forma preventiva y analizar el comportamiento de los usuarios para personalizar las estrategias de protección.
Un análisis conductual más preciso
Una de las principales ventajas de la IA reside en su capacidad para establecer perfiles de riesgo individualizados. No todas las empresas se enfrentan a las mismas amenazas, y no todos los usuarios tienen el mismo grado de madurez ni el mismo nivel de exposición. La IA permite analizar las acciones de cada empleado y asignarles un nivel de riesgo en función de sus comportamientos y de las amenazas a las que se enfrentan. El resultado: una ciberseguridad a medida que permite centrar los esfuerzos en los empleados más expuestos y no en toda la empresa.
Detección proactiva de amenazas
La IA también desempeña un papel clave en la prevención de ciberataques. Al analizar las señales débiles, no solo es capaz de detectar anomalías que pasarían desapercibidas con una vigilancia convencional, sino también de enviar un mensaje de alerta a los equipos de seguridad para indicarles los casos que deben tratar con prioridad. Gracias a la IA, es posible identificar correos electrónicos maliciosos que no contienen ningún enlace sospechoso ni archivo adjunto, pero cuyo lenguaje ha sido modificado para engañar a los usuarios.
¿Cómo funciona? Gracias al procesamiento del lenguaje natural (PLN), la IA es capaz de analizar no solo las palabras, sino también la intención del mensaje: es la combinación de las palabras en un determinado contexto lo que permite determinar si hay urgencia y tomar la decisión de rechazar el mensaje.
Una reacción gradual e inteligente
Otro reto inherente a la gestión del riesgo humano es saber cómo reaccionar ante comportamientos de riesgo sin perjudicar la productividad de los empleados. Para ello, es fundamental adoptar un enfoque gradual. Si un empleado hace clic repetidamente en enlaces sospechosos, en lugar de sancionarlo de inmediato, se puede empezar por limitar su acceso a determinados sitios web o servicios, enviarle recordatorios personalizados o incluso derivarlo a una formación adecuada. La idea es formar a los usuarios que lo necesitan en el momento adecuado para acompañarlos en su vida profesional y personal, basándose en la comunicación con el ecosistema cibernético y no cibernético.
¿Por dónde empezar?
Sin embargo, resulta difícil saber por dónde empezar. Para dar el primer paso, es importante plantearse dos preguntas. La primera: ¿sabe el director de TI o el responsable de seguridad de la información quiénes son las personas más atacadas? Y la segunda: ¿qué parte de los últimos ataques sufridos se debe a un error humano?
Para dar sentido al riesgo humano, lo primero es realizar un diagnóstico que permita saber cuántos incidentes se han producido en la producción entre los usuarios. Elsegundopaso consiste en preguntarse si el riesgo es uniforme. Por último, es importante analizar el impacto que han tenido las formaciones y las campañas de simulación en la producción. Para las empresas que no saben responder a estos tres elementos, su solución de sensibilización debe evolucionar. Al favorecer una gestión personalizada del riesgo humano, la IA se impone entonces como una herramienta imprescindible para reforzar la resiliencia de las empresas frente a las ciberamenazas del futuro.
[1]Informe anual sobre la ciberdelincuencia 2024, Ministerio del Interior – 2024
[2]Barómetro de ciberseguridad empresarial, OpinionWay para CESIN, enero de 2025
[3]8.ª edicióndelbarómetro sobre la gestión de riesgos en pymes y empresas de tamaño medio, QBE – OpinionWay – febrero de 2025
[4]Informe sobre investigaciones de violaciones de datos, Verizon – 2024
