Ciberseguridad

La ciberseguridad está pasando de la detección a la resiliencia impulsada por IA

mm
Publicado el

Con prácticamente todos los activos, la actividad empresarial o los datos valiosos registrados digitalmente, el acceso continuo a estos datos y sistemas de TI es esencial.

Esto es lo que una táctica de extorsión llamada ransomware explota. Se infiltra en un dispositivo electrónico o una red, bloquea a los usuarios el acceso a sus datos (generalmente mediante cifrado) y luego exige un rescate para proporcionar la clave de descifrado que restaure el acceso.

El ransomware es una actividad criminal de rápido crecimiento, con daños globales proyectados a superar los 265 mil millones de dólares anuales para 2031.

El problema se está volviendo crítico, ya que las campañas modernas de ransomware ahora apuntan no solo a individuos, sino también a redes corporativas, sistemas municipales y sectores de infraestructura crítica como la salud, las finanzas y la energía.

“En 2024 el sector de la salud registró los costos de violación más altos de cualquier industria, con un promedio de 10,93 millones de dólares por incidente, impulsado por tiempos de inactividad prolongados, sanciones relacionadas con HIPAA y la remediación de información de salud protegida.”

Estos incidentes son más graves e implican sumas mayores extorsionadas, aunque el 88 % de todos los incidentes de ransomware apuntan a pequeñas y medianas empresas (PYMEs).

“Las organizaciones que pagaron un rescate reportaron un pago promedio de 2 millones de dólares, frente a 400 000 dólares en 2023. Más allá de los costos inmediatos, el tiempo de inactividad organizacional promedio tras un ataque de ransomware ahora supera las tres semanas, lo que genera pérdidas operativas y de productividad acumuladas en las unidades de negocio.”

Los métodos de ransomware se han vuelto cada vez más sofisticados, dejando gradualmente obsoletas las antiguas técnicas de detección basadas en firmas tradicionales y puramente discriminativas. Rastrear los fondos también se ha vuelto más difícil, ya que hoy el rescate suele exigirse en criptomonedas.

En general, la IA es tanto un problema como una oportunidad para la ciberseguridad. Puede ayudar a generar falsificaciones más convincentes para el phishing, mejorar la eficiencia de la ingeniería social y crear nuevos puntos de falla en la arquitectura de un sistema.

Fuente: Crowdstrike

Una nueva publicación también sostiene que la IA generativa podría ayudar a mitigar las amenazas de ciberseguridad. Y que esto es especialmente cierto en el caso de los ataques de ransomware.

Fue escrita por un investigador de la Universidad de Cincinnati en el Journal of Information Security and Applications1, bajo el título “Rethinking ransomware defense in the age of generative AI”.

¿Cómo funciona el ransomware?

Ransomware 101

La mayoría del ransomware bloqueará los datos mediante cifrado después de una brecha de seguridad, permitiendo al hacker acceder a un dispositivo o a una red. En algunos casos, incluso puede bloquear por completo la interfaz de usuario del dispositivo, en lugar de cifrar archivos individuales.

La solicitud de rescate suele hacerse con una demanda de pago en criptomonedas, con un límite de tiempo estricto para descifrar los datos, después del cual quedarán atrapados en ese estado para siempre.

En algunos casos, etiquetados como doble y triple extorsión, el cifrado de datos se combina con amenazas de divulgar públicamente los datos robados, o incluso de atacar a sus clientes y socios si no se paga el rescate.

Esto puede ser especialmente problemático para datos confidenciales como información empresarial, propiedad intelectual valiosa, información médica de pacientes, etc. Además, pagar por el descifrado, o lograrlo por otros medios, no elimina los datos robados de los equipos del hacker, lo que significa que la amenaza persiste incluso después del descifrado.

En general, los expertos en ciberseguridad y las agencias de aplicación de la ley aconsejan no pagar el rescate, ya que no garantiza la restauración de los datos y a menudo marca a la víctima como un objetivo “bueno” para ataques posteriores.

Las pérdidas por ransomware no se limitan al rescate eventual, sino también al tiempo de inactividad y la interrupción del negocio, daño a la reputación, procedimientos de recuperación costosos y la seguridad adicional necesaria, etc.

“Las organizaciones que experimentan incidentes de ransomware a menudo enfrentan desconfianza de los grupos de interés por parte de clientes, inversores y reguladores. Los clientes perciben las brechas como fallos en la diligencia debida, lo que lleva a una disminución de la lealtad y a un aumento de la rotación. Los inversores pueden cuestionar la madurez de la gobernanza de la empresa y su postura de gestión de riesgos, lo que contribuye a la caída de la valoración de mercado.”

Cómo prevenir el ransomware

Más allá de los métodos de IA generativa propuestos por este artículo, se deben implementar algunas prácticas para reducir los riesgos y la gravedad de los ataques de ransomware.

La primera es la adopción general de buenas prácticas de ciberseguridad y la financiación suficiente para los equipos de TI y la capacitación en habilidades de ciberseguridad.

La segunda es mantener todo el software actualizado y parcheado, ya que un punto de falla puede generar vulnerabilidades en todo el sistema.

La tercera es prestar atención al acceso seguro y a los errores humanos, y proporcionar capacitación para evitarlos, ya que muchos ataques de ransomware comienzan con ingeniería social y convencen a al menos un usuario de abrir una brecha para los hackers.

Por último, una política seria de copias de seguridad y archivado de datos puede reducir enormemente el impacto de un ataque de ransomware al disponer de datos casi actualizados para la recuperación.

Uso de IA generativa para combatir el ransomware

El enfoque actual del ransomware se centra en herramientas antivirus basadas en firmas, motores de reglas estáticas, o incorpora solo parcialmente modelos tradicionales de aprendizaje automático y aprendizaje profundo.

“Estos enfoques dependen en gran medida de conjuntos de datos etiquetados y firmas de ataque predefinidas, dejando a las organizaciones expuestas a vulnerabilidades de día cero y malware polimórfico que modifican continuamente su código para eludir incluso los sistemas de detección multilayer.”

La IA generativa, el mismo tipo de IA usado por sistemas como ChatGPT, puede ayudar a aliviar estas limitaciones. En particular, varios tipos de IA generativa pueden usarse:

  • Modelos de lenguaje grande (LLMs).
  • Redes generativas antagónicas (GANs).
  • Autoencoders variacionales (VAEs).
  • Modelos de difusión.

Qué puede hacer cada sistema GenAI

Los LLMs pueden ayudar a especialistas en TI y a usuarios comunes a analizar grandes volúmenes de registros del sistema, informes de incidentes y fuentes de inteligencia de amenazas para identificar narrativas de ataque emergentes o generar recomendaciones de respuesta automatizadas.

Los GANs generan ataques de ransomware “falsos” que pueden usarse para prepararse para el caso real. Así pueden sintetizar variantes realistas de ransomware para probar bajo estrés y reentrenar los algoritmos de detección.

Los VAEs pueden aprender representaciones latentes de comportamiento que ayudan a distinguir la actividad del sistema maliciosa de la benigna.

En conjunto, los GANs y los VAEs pueden ayudar a generar muestras sintéticas de ransomware y datos de procesos benignos, abordando el desafío persistente de escasez de datos y desequilibrio de clases en los conjuntos de datos de ciberseguridad.

En la práctica, la confianza y la interpretabilidad son críticas para la adopción en centros de operaciones de seguridad del mundo real. Por lo tanto, los sistemas basados en GenAI deberán no solo identificar amenazas, sino también justificar sus resultados de manera comprensible para los analistas humanos.

Implementación y riesgos adicionales

Implementar estos sistemas requiere experiencia calificada, ya que son sensibles a la calidad de los datos, la latencia computacional y el costo de reentrenamiento.

También debe señalarse que estos sistemas deben implementarse con cuidado y con salvaguardas de gobernanza apropiadas.

Los riesgos adicionales incluyen ataques de extracción de modelos, manipulación de prompts en herramientas de seguridad asistidas por LLM, y envenenamiento adversario de la telemetría utilizada durante los ciclos de reentrenamiento, todo lo cual puede socavar la fiabilidad de la defensa cibernética asistida por IA.

La misma tecnología que puede ayudar contra los ataques de ransomware también puede ser weaponizada para automatizar campañas de phishing, crear malware polimórfico o imitar el comportamiento legítimo del sistema para evadir la detección.

Recomendaciones de política

El uso de IA generativa para la ciberseguridad debe incorporarse en el marco más amplio de políticas de IA, tanto a nivel de empresa/institución como a nivel nacional.

Esto incluye supervisión ética y alineación de políticas, garantizando que el uso de IA cumpla con los estándares de privacidad, seguridad y responsabilidad.

También se debe prestar atención técnica a la planificación de resiliencia, incluyendo pruebas de recuperación, políticas de copias de seguridad y redundancia del sistema.

Los marcos existentes deberían ayudar a guiar la implementación de GenAI en el ransomware y en los esfuerzos más amplios de ciberseguridad, como ISO/IEC 42001, el Marco de Gestión de Riesgos de IA de NIST y las directrices de cumplimiento del Reglamento de IA de la UE.

También se deben tener en cuenta las capacidades organizativas, con una integración progresiva de IA generativa al nivel de experiencia en ciberseguridad presente en una organización, que es el factor limitante principal.

En general, la estrategia ideal es una de aprendizaje continuo, donde el conocimiento organizacional de los incidentes se integra en las canalizaciones de reentrenamiento de IA.

Conclusión para inversores

A medida que la tecnología de IA avanza junto con una digitalización cada vez más generalizada, también lo hacen las amenazas y las herramientas para contrarrestarlas.

En conjunto, la protección contra ransomware está pasando de la detección en endpoints a plataformas de resiliencia habilitadas por IA que combinan detección, simulación, gobernanza y respuesta con intervención humana.

Esto debería favorecer un sistema de ciberseguridad integrado y holístico que pueda incorporar dichas herramientas de IA sin problemas, y proporcionar a los modelos de IA los datos y el entorno con los que pueden utilizarse a su máximo potencial.

Invertir en ciberseguridad basada en IA

Crowdstrike

(CRWD )

CrowdStrike fue fundada en 2012 con un enfoque cloud‑first para la ciberseguridad, con un fuerte foco en mercados B2B (business‑to‑business).

El movimiento temprano de CrowdStrike hacia la nube le permitió estar a la vanguardia en la protección de este tipo de datos, y demostró una ventaja competitiva importante que impulsó su crecimiento a medida que cada vez más empresas pasaban de servidores locales auto‑segurados a servidores en la nube.

Un punto clave de la oferta de CrowdStrike es que reúne en un entorno cloud lo que antes era un panorama extremadamente fragmentado de soluciones de seguridad que necesitaban integrarse entre sí. La empresa puede proporcionar seguridad a todos los niveles de la organización, desde dispositivos individuales hasta toda la infraestructura de TI de una empresa.

Fuente: CrowdStrike

Dado que la ciberseguridad es algo que necesita integrarse profundamente en las operaciones de una empresa, la elección de un proveedor de ciberseguridad es una decisión a largo plazo.

Esto hace que los ingresos de CrowdStrike sean altamente predecibles, con un 98 % de retención bruta de sus cuentas de usuarios. En el segundo semestre de 2026, la empresa espera un crecimiento del 40 % del ARR neto nuevo (ingresos recurrentes anuales).

La empresa es ahora un pionero temprano en ciberseguridad impulsada por agentes de IA, al igual que lo fue en la ciberseguridad basada en la nube en el pasado, incorporando ya defensa basada en agentes en todos los niveles de sus sistemas.

Fuente: CrowdStrike

Un elemento clave también será proporcionar seguridad a los agentes de IA utilizados para tareas personales y empresariales por los usuarios. Si bien aumentan la productividad, estos agentes también son un nuevo vector de ataque para hackers y malware, y sistemas como los de CrowdStrike se convertirán cada vez más en una necesidad para asegurar el uso de agentes de IA.

En general, esto brinda a la empresa una enorme oportunidad de crecimiento, especialmente porque tiene una posición dominante en el segmento de ciberseguridad en la nube, el cual es el más propenso a proporcionar la escala y calidad de datos necesarias para desplegar IA generativa y otras tecnologías de IA para una aplicación útil en la seguridad digital.

Fuente: CrowdStrike

Últimas CrowdStrike (CRWD) Noticias de acciones y desarrollos

Estudio Referenciado

1. Nelly Elsayed. Rethinking ransomware defense in the age of generative AI. Journal of Information Security and Applications. Volume 101, septiembre de 2026, 104547. https://doi.org/10.1016/j.jisa.2026.104547

mm

Jonathan es un ex investigador de bioquímica que trabajó en análisis genético y ensayos clínicos. Ahora es un analista de acciones y escritor de finanzas con un enfoque en innovación, ciclos del mercado y geopolítica en su publicación The Eurasian Century.