Deepfakes y fraudes por IA: el sector analiza en Espaitec la nueva ciberseguridad

Los deepfakes, fraudes por voz y ataques hiperpersonalizados están abriendo una nueva frontera del ciberriesgo en la que el factor humano y la confianza en lo digital se convierten en el principal activo de empresas y sociedad. Esta es una de las principales conclusiones de la jornada «Ciberseguridad en tiempos de inteligencia artificial: amenazas invisibles, decisiones críticas», organizada por el Parque Científico y Tecnológico de la Universitat Jaume I de Castelló (Espaitec) junto a Economía 3 como media partner.

El encuentro, celebrado en la Sala Multiusos de Espaitec 2, reunió a especialistas en ciberseguridad, académicos y directivos para analizar cómo la irrupción de la inteligencia artificial está cambiando las reglas del juego, desde la anatomía de los ataques hasta la forma en que las organizaciones toman decisiones bajo presión.

«Los algoritmos que nos protegían, ahora nos engañan»

La jornada se abrió con la intervención de Juan Antonio Bertolín, director de Espaitec, que subrayó el contexto de aceleración tecnológica y la necesidad de espacios de reflexión compartida. «Está claro que la IA está acelerando todo, pero en diferentes direcciones y es complicado enfrentarlo todo. Los algoritmos que nos protegían, ahora nos engañan. ¿Estamos preparados?», planteó.

Bertolín insistió en la dimensión social de la ciberseguridad y en la importancia de la confianza como base de cualquier avance tecnológico. «No queremos que sea un evento más, sino un sitio de reflexión. La tecnología va de confianza y esta se construye entre todos», apuntó.

Cibercrimen: el «tercer país más rico» del mundo

El primer bloque corrió a cargo de Juan Carlos García, Chief Operations Officer & SOC Global Director de Sofistic Cybersecurity, con la ponencia «Deepfakes, fraudes por voz y ataques personalizados: la nueva frontera del ciberriesgo».

García comenzó dibujando el mapa actual de las amenazas y explicó que, en ciberseguridad, ya no se habla únicamente de hackers aislados, sino de adversarios organizados en grupos con tácticas propias. En 2024 se registraron 34 grandes grupos de ciberdelincuentes actuando de forma coordinada. A ello se suma que, tras la pandemia, la migración masiva al cloud ha difuminado la vieja frontera de los datos «en casa».

Las cifras ayudan a entender la magnitud del problema. El 50 % de los usuarios cae en ataques de phishing y un 17 % llega incluso a facilitar sus datos. El número de víctimas de filtraciones de información ha aumentado un 76 % interanual. El cibercrimen ya supera al narcotráfico y, por impacto económico, «sería el tercer país más rico del mundo», con un coste estimado de 10,5 billones de dólares.

García distinguió entre ataques de arrastre, de carácter masivo y poco dirigido, y ataques especialistas, diseñados para ir a por objetivos concretos, con información previa que permite maximizar el resultado del ataque. Este segundo tipo es el que más está creciendo apoyado precisamente en el uso intensivo de inteligencia artificial.

IA ofensiva sin barreras… y defensas aún en construcción

Uno de los puntos clave de su intervención fue el uso de IA por parte de los atacantes. «Tanto la parte ofensiva como la defensiva hemos empezado a usar la IA a la vez, pero los ciberdelincuentes no tienen barreras y eso hace que se tenga la sensación de que van ganando la partida», advirtió.

Según explicó, ya existen grupos que emplean IA para automatizar ataques sobre infraestructuras, ajustar rescates «a medida» y explotar al máximo la información que extraen de la víctima. También han aprendido a utilizar plataformas como LinkedIn para perfilar mejor a sus objetivos y obtener datos más sensibles. «Vemos cómo se retuerce todo», resumió.

La otra cara del problema está en los datos que alimentan los modelos de inteligencia artificial. «Todos sabemos que una IA es tan buena como los datos que le proporcionemos. ¿De dónde salen esos datos? Se los damos nosotros», recordó. García citó el caso de filtración ocurrido en una gran empresa tecnológica tras compartir información sensible con una herramienta de IA generativa y alertó de que las exfiltraciones por mal uso de estas soluciones siguen produciéndose, pese a las mejoras en seguridad.

En el lado defensivo, señaló que «los buenos» también cuentan con herramientas basadas en IA, aunque todavía no como un producto cerrado capaz de resolver todos los problemas. Hoy se utilizan principalmente para entender mejor la relación entre procesos y equipos en tiempo real, para analizar el comportamiento de los usuarios en la red y detectar patrones que puedan indicar una exfiltración de datos, y para identificar comportamientos anómalos a escala macro que no serían visibles con métodos tradicionales.

Procesos, personas y retorno de la inversión

Más allá de las soluciones tecnológicas, García insistió en que no existe una herramienta mágica para protegerse de los deepfakes o de los fraudes por voz. «No hay una herramienta específica, es cuestión de procesos. Si me llama mi jefe pidiéndome una transferencia urgente, lo normal es usar un canal oficial o hacer doble check», ejemplificó.

Para el experto, la clave está en preparar a las personas, porque la empresa se sostiene sobre sus empleados y, si estos no son conscientes de los riesgos ni de la forma correcta de actuar, la mejor tecnología sirve de poco. De ahí la importancia de la concienciación y la formación continuada.

En cuanto al coste de la ciberseguridad, sostuvo que no existe una cifra universal porque cada organización debe entender primero cuáles son sus riesgos reales y, a partir de ahí, definir un plan específico. Sí apuntó, sin embargo, que la inversión puede ofrecer un retorno estimado de entre 3 y 6 euros por cada euro invertido cuando se diseña y ejecuta adecuadamente.

Su recomendación pasa por identificar qué activos y procesos son críticos, seleccionar solo aquellas herramientas que encajan de verdad con las necesidades de la empresa y valorar no solo el coste económico, sino también el tiempo y los recursos necesarios para ponerlas en marcha.

InnoBar: IA, tensión emocional y «ojo crítico»

La jornada continuó con la grabación en directo un nuevo episodio del podcast «InnoBar con B de Bar: ¿Cómo la IA ha cambiado la ciberseguridad?», con la participación de Noé Villar, CTO y CISO en DQS Consulting; Juan Antonio Gil, Technical Manager en NTT DATA Europe & Latam; Julio José Moyano, director del Grado en Matemática Computacional de la Universitat Jaume I; el propio Juan Carlos García y Juan Antonio Bertolín.

El debate puso el foco en el factor humano. Julio José Moyano destacó que, con la extensión de la IA, el control recae cada vez más en la persona que recibe un estímulo y debe decidir si actúa o no, de modo que un simple clic puede abrir o no la puerta a un incidente de seguridad. Juan Carlos García añadió que este contexto puede generar una tensión emocional notable y llegar incluso a estados de paranoia en algunos perfiles que se sienten permanentemente bajo amenaza.

Frente a este escenario, Moyano reivindicó la necesidad de formar a la sociedad en el desarrollo de un «ojo crítico» ante lo digital, una capacidad que permita evaluar con calma la información que recibimos.

Juan Antonio Gil coincidió en que hoy estamos mejor que hace unos años, tanto a nivel de empresa como de usuario particular, pero reconoció que el nivel actual de preparación «desde luego es insuficiente». Noé Villar subrayó, además, el peso de factores como el tiempo disponible, la carga de trabajo o el estrés, que influyen de manera decisiva en la forma en que se responde ante un posible ataque, y defendió la importancia de trabajar también estos elementos si se quiere mejorar la defensa.

Pymes en el punto de mira

Uno de los puntos de consenso fue la especial vulnerabilidad de las pymes. Juan Carlos García recordó que las grandes compañías cuentan con recursos, equipos especializados y estructuras más maduras, mientras que las pequeñas y medianas empresas están mucho más expuestas y tienen más dificultades para articular una respuesta eficaz.

Juan Antonio Bertolín lo resumió con una comparación muy gráfica: «Igual que una pyme tiene un asesor contable, debería tener uno de ciberseguridad, porque no tienen por qué saber. Son los más vulnerables, porque están menos concienciados y tienen menos recursos».

Sobre si la IA debe verse como un caballo de Troya o como un aliado en la gestión del riesgo, Noé Villar defendió que se trata de un agente más que la empresa debe aprender a gestionar para que juegue a favor. A su juicio, tarde o temprano todas las compañías, independientemente de su tamaño, se verán obligadas a adoptar la inteligencia artificial si quieren crecer y seguir siendo competitivas.

El reto, como apuntó de nuevo Julio José Moyano, está en el cómo, especialmente en un terreno donde el riesgo aún no está completamente definido y la implementación requiere criterio y prudencia. Bertolín añadió que un buen punto de partida para cualquier organización es identificar con claridad qué es lo que realmente tiene valor para ella y construir desde ahí su estrategia de protección.

Decisiones en «Zona Roja» y el valor de la confianza digital

El programa se completó con la mesa redonda «Zona Roja: decisiones bajo ciberataque», en la que los ponentes abordaron cómo gestionar incidentes críticos desde una perspectiva tanto técnica como estratégica. En este bloque se insistió en la importancia de contar con protocolos claros, canales de verificación definidos y criterios de priorización que permitan tomar decisiones rápidas sin perder el control, algo especialmente relevante en entornos con recursos limitados.

La jornada se cerró con una última intervención de Juan Antonio Bertolín, que quiso poner el broche destacando el papel central de la confianza digital en el desarrollo económico y social.

«Si algo nos ha quedado claro es que la confianza en lo digital es de los mayores activos que tiene la sociedad moderna y que trabajar para consolidarla es una de las mayores inversiones que podemos hacer», concluyó.