Cómo la IA está cambiando el panorama de la ciberseguridad
Los ciberdelincuentes están evolucionando sus tácticas a una velocidad vertiginosa. Con la IA al alcance de la mano, los atacantes pueden crear correos de phishing personalizados y perfectamente redactados en cuestión de minutos.
Desde el lanzamiento de ChatGPT, los intentos de phishing se han más que duplicado. Los modelos lingüísticos modernos automatizan cada fase de un ataque: analizan al instante grandes cantidades de datos públicos para descubrir quién eres, dónde trabajas, tus intereses y qué desencadenantes psicológicos pueden influirte más, y después generan correos electrónicos hiperrealistas en segundos. Hoy, todo el mundo es tratado como un objetivo de alto valor, y los errores humanos son más fáciles de explotar que nunca.
Por qué falla la formación tradicional
Mientras tanto, el coste del cibercrimen sigue aumentando. Para 2027, se estima que su impacto financiero global supere los 20 billones de euros, ayudado por ataques constantes en los que las empresas (consciente o inconscientemente) terminan financiando el modelo de negocio de los ciberdelincuentes a través de sus propias vulnerabilidades.
A pesar de estas evidencias, muchas organizaciones continúan invirtiendo dinero en soluciones obsoletas e ineficaces. El 76% de los responsables de IT todavía cree que las simulaciones de phishing o las sesiones de formación ocasionales son suficientes para hacer que los empleados sean más resilientes frente al phishing. Es una creencia arraigada en el sector: todo el mundo lo hace, así que debe funcionar. Y los estándares de marcos de cumplimiento como ISO y SOC suelen ser demasiado débiles para transmitir la importancia de una formación frecuente y eficaz.
Dos importantes estudios científicos (uno realizado por ETH Zürich en Europa y otro por la Universidad de Chicago en Estados Unidos) han confirmado lo que en Phished llevamos años diciendo: la manera en que la mayoría de las organizaciones abordan hoy la concienciación sobre phishing no es más que un parche en un sistema roto. La formación tradicional en phishing, en su forma actual y habitual, no tiene un impacto medible y, en los peores casos, puede resultar contraproducente.
«Los seres humanos siempre cometerán errores, especialmente ahora que la IA ha hecho que el phishing sea más rápido, más barato y más sofisticado que nunca. La pregunta no es si ocurrirá un incidente, sino cuándo.» — Jo Vandebergh, CEO Phished
La incómoda verdad sobre la formación en phishing
Hay que aceptar lo que los datos muestran de forma clara: la “barrera humana” por sí sola no evita los ciberincidentes. Las personas siempre cometerán errores, especialmente ahora que la IA ha hecho que el phishing sea más rápido, más barato y más sofisticado que nunca. La pregunta no es si ocurrirá un incidente, sino cuándo.
La formación tradicional no resolverá ese problema. Solo un enfoque holístico, combinado con tecnología de correo electrónico zero-trust, que proteja a las personas y al mismo tiempo las forme puede funcionar.
Para solucionar el problema de los filtros antispam poco fiables y del error humano, hemos desarrollado nuestra tecnología Zero Incident Mail™ (ZIM), que neutraliza al instante los clics de riesgo y garantiza que, incluso si un empleado se equivoca, ningún daño llegue a tu infraestructura. Combinado con formación holística basada en riesgos (incluyendo prácticas de higiene cibernética y alertas de amenaza) y con información conductual procedente de nuestro Puntuación de Riesgo Conductual™, los empleados aprenden de manera segura, eficaz y sin interrumpir su trabajo diario.
Porque siempre va a haber errores humanos, pero muchos de ellos pueden evitarse.
Jo Vandebergh
CEO, Phished
