Los ciberdelincuentes no necesitan grandes recursos: con unos segundos de audio, un prompt bien construido o plantillas de correo alimentadas por IA pueden perpetrar estafas masivas con precisión y velocidad inéditas. Según los especialistas de Zerod, el ritmo y el realismo de estas campañas obligan a repensar la ciberdefensa.
“Con sistemas de mensajería automatizada, pueden atender a decenas de víctimas a la vez y generar comunicaciones que imitan el tono corporativo de un hotel real. Esa clonación se utiliza en llamadas para ordenar transferencias urgentes o convencer a un empleado de que comparta información sensible. La misma tecnología que usan los delincuentes puede utilizarse para defender, pero con la ventaja de la velocidad y exhaustividad que solo la IA puede ofrecer”, explica Víctor Ronco, CEO de Zerod.
Principales vectores: hostelería, política y suplantación de voz
La misma tecnología que usan los delincuentes puede utilizarse para defender, pero con la ventaja de la velocidad y exhaustividad que solo la IA puede ofrecer
Estafas al sector turístico
El turismo figura entre los sectores más atacados. Los delincuentes se hacen pasar por agentes de viaje o recepciones hoteleras usando correos y chats automáticos que reproducen estilos corporativos. El objetivo: credenciales y datos de pago. Con las credenciales comprometidas, se realizan compras fraudulentas, reservas falsas o ventas de datos en mercados clandestinos.
Deepfakes y desinformación
Los deepfakes de audio y vídeo ya se han incorporado en las campañas de desinformación. Este tipo de clips audiovisuales pueden erosionar la reputación de figuras públicas y sembrar desconfianza en procesos electorales. Y es que, la facilidad para producir material verosímil aumenta el riesgo de manipulación a gran escala.
Clonación de voz y prompt injection
Basta un fragmento de voz para crear un clon convincente capaz de ordenar transferencias (vishing) o sortear controles humanos. Por otra parte, las técnicas de prompt injection (inyectar instrucciones maliciosas en asistentes o flujos de trabajo de IA) abren brechas en aplicaciones que antes se consideraban seguras.
La IA no solo ayuda al atacante: también puede defender
Zerod y otras empresas del ecosistema proponen usar la IA para adelantarse a los ciberataques. Herramientas de pentesting autónomo permiten no solo identificar vulnerabilidades, sino explotarlas en entornos controlados para demostrar el impacto real. Según Ronco, ese enfoque “muestra exactamente cómo un atacante real podría comprometer un sistema” y ayuda a priorizar correcciones.
Medidas urgentes para reducir el riesgo
Fortalecer la formación
La formación continua del personal es imprescindible: los empleados deben reconocer intentos automatizados y protocolos de verificación adicionales.
Multiplicar las capas de verificación
Autenticación multifactor robusta, validaciones por canales independientes y políticas de confirmación para transferencias económicas reducen el éxito de los ataques basados en suplantación.
Simulacros y auditorías periódicas
Realizar ejercicios que incluyan deepfakes y vishing ayuda a medir la resiliencia y ajustar procedimientos antes de que ocurra un incidente real.
Qué dicen los números
Las estadísticas oficiales muestran un aumento de incidentes digitales y fraudes online, con miles de casos gestionados anualmente por los centros de respuesta nacionales. Pues, la digitalización sin controles robustos facilita la expansión de los delitos basados en IA.
