Indicadores
Dólar TRM $ 3.233,91 16/07/2026 Euro $ 3.690,31 16/07/2026 Café US¢ 313,95/lb 16/07/2026 Brent USD 84,34 16/07/2026 Tasa BanRep 12% 3 de julio de 2026 Dólar TRM $ 3.233,91 16/07/2026 Euro $ 3.690,31 16/07/2026 Café US¢ 313,95/lb 16/07/2026 Brent USD 84,34 16/07/2026 Tasa BanRep 12% 3 de julio de 2026
Economía y Desarrollo

Su portal de noticias de economía, tecnología, negocios, cultura entre otros temas, donde puede estar siempre al día

📅 jueves, 16 de julio de 2026 🕘 07:03:33 pm
IA 23 Oct 2025 Por

Análisis: La IA está reescribiendo las reglas de la ciberseguridad

 El phishing ha sido, y sigue siendo, una de las amenazas cibernéticas más comunes y exitosas.

Hasta hace poco, la mayoría de los mensajes de phishing contenían errores como mala ortografía, tono sospechoso o formato extraño que los delataba. Ahora, los modelos de lenguaje de gran escala (LLMs) pueden generar correos impecables, incluso imitando el tono y estilo de un CEO al aprender de las comunicaciones de la empresa.

El resultado: correos que son indistinguibles de la comunicación empresarial legítima, haciendo que el compromiso de correo electrónico empresarial (BEC) sea aún más difícil de detener. Las contraseñas fuertes por sí solas ya no son suficientes: si un empleado es engañado para entregar sus credenciales, el atacante ya está dentro.

Relleno de credenciales potenciado por IA

El credential stuffing —uso de nombres de usuario y contraseñas robadas en múltiples sitios— no es nuevo. Lo que ha cambiado es la escala y la sofisticación que la IA aporta a este ataque.

Los bots mejorados por IA pueden:

•                 Iniciar millones de intentos de inicio de sesión por hora.

•                 Rotar IPs, imitar escritura humana y generar acciones aleatorias para evitar la detección.

•                 Superar captchas, explotar vulnerabilidades en APIs y adaptarse instantáneamente a cambios de reglas.

Las contraseñas fuertes y el MFA ayudan, pero ya no son suficientes por sí solas.

Ataques de fatiga de MFA

La autenticación multifactor (MFA) fue diseñada para detener a los atacantes. Pero el “push bombing” potenciado por IA ha convertido este mecanismo en un arma contra los propios usuarios.

Después de robar credenciales, los atacantes activan infinitas notificaciones push de MFA. Al principio, los usuarios las rechazan, pero la frustración crece y finalmente alguien toca “Aprobar” solo para detenerlas.

La IA aumenta el riesgo mediante:

•                 Scripts que programan notificaciones para causar máxima molestia.

•                 Mensajes o llamadas falsas de TI para engañar a los usuarios.

•                 Ataques a cuentas de alto valor para obtener mayor beneficio.

El MFA tradicional de “Aprobar/Rechazar” no puede soportar esta presión.

Automatización e identidades sintéticas

La IA no solo hace que los atacantes tradicionales sean más inteligentes, sino que también crea nuevos tipos de ataques. Herramientas como FraudGPT industrializan estafas con plantillas de phishing listas, scripts de malware y tácticas de evasión.

Al mismo tiempo, la IA puede generar personas completamente falsas: fotos, voces e historiales online creados artificialmente. Estos “individuos” pueden pasar controles de seguridad, abrir cuentas bancarias e interactuar con víctimas como personas reales.

A diferencia del phishing o del credential stuffing, aquí las contraseñas ni siquiera entran en juego: los atacantes crean cuentas que parecen legítimas. Las verificaciones de seguridad convencionales, basadas en documentos estáticos o validaciones superficiales, pueden no detectarlos.

Adaptando la seguridad de identidad para enfrentar amenazas de IA

Adoptar nuevas tecnologías no significa desechar las existentes. Las prácticas recomendadas de larga data siguen siendo esenciales.

Ir sin contraseñas – El futuro de la autenticación

Las contraseñas han sido durante mucho tiempo el eslabón más débil en seguridad. Incluso con contraseñas fuertes y únicas y gestores de contraseñas, los usuarios siguen siendo vulnerables a phishing, credential stuffing y filtraciones de datos.

Por eso cada vez más organizaciones adoptan la autenticación sin contraseña. Al reemplazar contraseñas con métodos como biometría, llaves de seguridad de hardware FIDO2 o claves criptográficas, las empresas eliminan los riesgos asociados con credenciales robadas o reutilizadas.

La autenticación sin contraseña no solo fortalece la seguridad, sino que también mejora la experiencia del usuario: nada de recordar cadenas complejas ni lidiar con constantes restablecimientos. Es una situación de ganar-ganar: mejor protección y un inicio de sesión más fluido.

MFA adaptativo y basado en contexto

El MFA tradicional es vulnerable a ataques potenciados por IA. El MFA adaptativo y basado en contexto protege contra la fatiga de MFA mediante:

•                 Bloqueo de intentos de inicio de sesión sospechosos, evitando que los atacantes lleguen a la etapa de notificación push.

•                 Cambio a métodos resistentes al phishing en eventos de alto riesgo, evitando que usuarios aprueben solicitudes por error.

•                 Detección y bloqueo de notificaciones excesivas, deteniendo intentos de push bombing en curso.

Monitoreo continuo: acceso adaptativo y prevención de fraude

Las contraseñas y MFA son solo una parte de la ecuación. Para detener ataques impulsados por IA, las organizaciones necesitan defensas que vigilen lo que ocurre después del inicio de sesión.

Controles de acceso adaptativos basados en comportamiento: construyen una línea base de la actividad normal de cada usuario, dispositivo y aplicación. Cuando algo se desvía de esa base —como un gerente financiero iniciando sesión a las 3 a.m. desde una IP extranjera e intentando una exportación masiva de datos— el sistema puede:

•                 Señalar y verificar la actividad antes de que cause daño.

•                 Escalar la autenticación con factores más fuertes y requerir aprobación del gerente.

•                 Bloquear la sesión directamente si la acción viola la política.

Incluso si los atacantes superan la seguridad de la cuenta, herramientas de prevención de fraude monitorizan transacciones sospechosas mediante:

•                 Biometría conductual: detectando diferencias sutiles en ritmo de escritura, movimientos del mouse y navegación.

•                 Monitoreo basado en machine learning: detectando anomalías como transferencias de alto valor tras periodos de inactividad.

Verificación sólida de identidad

Algunos atacantes crean cuentas nuevas con identidades sintéticas. Las soluciones identidad digital (IDV) de Thales aseguran que los usuarios sean quienes dicen ser:

•                 Controles biométricos

•                 Verificación de documentos con escaneo infrarrojo/ultravioleta

•                 Reconocimiento facial con detección de vivacidad

•                 Autenticación pasiva

Esto impide que ciberdelincuentes con deepfakes se registren con credenciales falsas o robadas, garantizando que solo personas reales puedan crear cuentas o autenticarse.

Hacia una protección de identidad contextualizada

El phishing potenciado por IA, el credential stuffing, la fatiga de MFA y las identidades sintéticas muestran que las contraseñas fuertes por sí solas no bastan. Se necesitan defensas basadas en contexto y comportamiento que se adapten en tiempo real, cerrando brechas antes de que los atacantes puedan explotarlas.

Eso es exactamente lo que ofrecen las soluciones IAM de Thales. Cuando los atacantes evolucionan, las defensas deben evolucionar más rápido, y en Thales estamos comprometidos a liderar esa evolución.

¿Te pareció interesante?

Comparte esta noticia

Autor

Alirio Aguilera

Alirio Aguilera, periodista bogotano egresado de la Universidad Central de Bogotá, especializado en periodismo económico en la Universidad de la Sabana y con magister en Relaciones Internacionales de la Pontificia Universidad Javeriana con amplia experiencia en medios de comunicación y también como docente de varias universidades y con gran experiencia como asesor de comunicaciones en el sector público y privado.

Deja tu comentario

Tu correo electrónico no será publicado.