– UNSPLASH/ JOAO PAULO M RAMOS PAULO
MADRID, 5 May. (CIBERPRO ) –
Con el rápido crecimiento de las amenazas relacionadas con la inteligencia artificial (IA), el 35 por ciento de las empresas europeas no pueden asegurar si han sido víctimas de un ciberataque relacionado con estas tecnologías, siendo los ataques de ‘phishing’ y la ingeniería social los más complicados de detectar.
Esto se evidencia en la reciente investigación ‘AI Pulse Poll’ realizada por la asociación global ISACA, que indica una «brecha creciente» entre el aumento de las amenazas impulsadas por IA y la capacidad de las organizaciones para identificar y manejar los riesgos asociados.
En concreto, entre los profesionales europeos con experiencia en auditoría de TI, gobernanza, ciberseguridad y tecnologías emergentes, el 71 por ciento afirma que los ataques de ‘phishing’ e ingeniería social alimentados por IA son ahora más difíciles de detectar.
En esta misma línea, el 58 por ciento sostiene que la IA ha hecho «considerablemente más complicado» autenticar la información digital y el 38 por ciento ha visto disminuir su confianza en los métodos tradicionales de detección de amenazas debido a esto.
Como resultado, un tercio de las organizaciones, específicamente el 35 por ciento de los encuestados, reconoce no poder discernir si ha experimentado un ciberataque causado por IA o uno convencional.
Parte de esta dificultad se debe a la proliferación de información errónea y desinformación, considerada el principal riesgo asociado a la IA por el 87 por ciento de los encuestados. También se mencionan las violaciones de privacidad y la ingeniería social en el 75 y 60 por ciento de los casos, respectivamente.
Esto indica que los equipos de seguridad de las organizaciones enfrentan problemas para gestionar esta desinformación, utilizando herramientas que anteriormente consideraban efectivas, pero que ahora están quedando obsoletas en comparación con la IA.
UTILIZACIÓN DE IA EN CIBERATAQUES Y EN DEFENSA
En particular, en España, ISACA ha señalado una creciente presión sobre los canales de ayuda y respuesta ante incidentes, lo que refleja esta situación de incremento de ciberataques impulsados por IA.
Al respecto, han recordado que, según el informe de ciberseguridad de INCIBE, el año anterior se registraron más de 122.000 incidentes de ciberseguridad y se atendieron 142.767 consultas, lo que representa un aumento del 44,9 por ciento respecto a 2024.
Sin embargo, la organización también ha destacado que la IA no es una tecnología «unidireccional», ya que, además de ser utilizada para ciberataques, también se está demostrando como una herramienta defensiva valiosa.
En este sentido, el 43 por ciento de las organizaciones indica que esta tecnología ha mejorado la capacidad de su entidad para detectar y responder a las ciberamenazas, y el 34 por ciento ya la está implementando específicamente para fortalecer la ciberseguridad.
ADOPCIÓN DE IA SIN UNA SUPERVISIÓN ADECUADA
A todo esto, ISACA también ha señalado que, para materializar este potencial defensivo, las organizaciones deben contar con «la experiencia y la gobernanza adecuadas» para implementar la IA de manera efectiva.
Asimismo, han enfatizado que es «especialmente preocupante» que estas amenazas relacionadas con IA estén emergiendo a la par que se adopta ampliamente la IA en los entornos laborales europeos.
De este modo, el 82 por ciento de las organizaciones permite explícitamente el uso de IA en el trabajo, y un 74 por ciento permite el uso de IA generativa, integrando esta tecnología principalmente en tareas operativas para la creación de contenido escrito (69%), el aumento de la productividad (63%), la automatización de tareas repetitivas y el análisis de grandes conjuntos de datos (54% y 52%, respectivamente).
Como resultado, el 77 por ciento afirma ahorrar tiempo y el 40 por ciento indica que la IA ha incrementado su capacidad de producción sin necesidad de aumentar el personal.
Desde ISACA advierten que esta rápida adopción no ha sido acompañada por la gobernanza necesaria, ya que solo el 42 por ciento de las organizaciones cuenta con una política formal y completa de IA. Además, el 33 por ciento no requiere que los empleados informen cuándo la IA ha contribuido a los productos generados.
Como consecuencia, el 87 por ciento de los profesionales expresa preocupación por el uso no autorizado de la IA por parte de los empleados, y el 26 por ciento considera que su mayor desafío con la IA es la falta de confianza en su capacidad para proteger adecuadamente la propiedad intelectual y la información sensible.
«El hecho de que tantas empresas funcionen sin la gobernanza adecuada para rastrear el uso de la IA, y mucho menos cómo se utiliza, aumenta significativamente esa exposición» a los ciberataques impulsados por IA, ha comentado el director de Estrategia Global de ISACA, Chris Dimitriadis.
«Reducir esa brecha comienza con el desarrollo profesional y la promoción de la experiencia necesaria para establecer e integrar una gobernanza de la IA que resista bajo presión. Esto se ha vuelto un imperativo de seguridad», agregó.
LOS PROFESIONALES NO SE SIENTEN PREPARADOS PARA CERRAR ESTA BRECHA
Por último, el informe también revela que la brecha de gobernanza recae sobre los profesionales, y muchos no se sienten capacitados para abordar esta situación. Así, más de la mitad indica que necesita mejorar sus habilidades en los próximos seis meses para mantener su empleo.
Además, el 41 por ciento considera que la creciente brecha de habilidades es uno de los mayores riesgos que presenta la IA. Sin embargo, una quinta parte (21 por ciento) de las organizaciones aún no ofrece formación formal en IA.
Ante todo esto, el entorno regulatorio añade mayor urgencia, siendo el Reglamento de IA de la Unión Europea el marco de gobernanza más mencionado en la encuesta, al ser citado por el 45 por ciento de las organizaciones, seguido de NIST (26%).
«El riesgo asociado con la IA requiere profesionales capaces de evaluar la exposición, integrar la supervisión a lo largo de todo el ciclo de vida y asesorar sobre las mejores prácticas regulatorias. Las organizaciones que inviertan ahora en esa capacidad no solo estarán mejor protegidas; también estarán en una mejor posición para aprovechar plenamente las ventajas de la IA», concluyó Dimitriadis.
