Los ataques de ingeniería social solían requerir mucho tiempo y esfuerzo.
Los atacantes investigaban a sus víctimas, redactaban manualmente los correos electrónicos de phishing y se hacían pasar con gran cuidado por personas u organizaciones de confianza. Lo que podían hacer de forma realista al mismo tiempo era limitado y, por lo tanto, el número de víctimas a las que podían atacar al mismo tiempo también lo era.
La inteligencia artificial ha cambiado por completo esta situación. Lo que antes llevaba horas, ahora se realiza en cuestión de segundos. Los atacantes pueden generar al instante correos electrónicos de phishing muy convincentes, recopilar información pública para obtener datos personales y personalizar mensajes dirigidos a personas concretas a gran escala.

La ingeniería social se ha vuelto más rápida, más económica y mucho más convincente.
Esto plantea un grave problema para las organizaciones, ya que estos ataques ya no se basan en errores evidentes ni en estafas genéricas. Están diseñados para parecer auténticos, familiares y difíciles de poner en duda.
Por qué la inteligencia artificial hace que la ingeniería social sea más peligrosa
Los ataques de phishing tradicionales solían delatarse a sí mismos.
Las faltas ortográficas, un lenguaje poco fluido, un formato sospechoso y los saludos genéricos facilitaban su detección. Los empleados sabían en qué fijarse, ya que las señales de alerta eran evidentes.
La IA elimina muchas de esas pistas. Los atacantes pueden ahora crear comunicaciones pulidas y profesionales que suenan naturales y creíbles, con mensajes capaces de imitar el tono de voz de un compañero de trabajo, hacer referencia a proyectos reales y parecer personalmente relevantes para la persona que los recibe. Esto hace que las personas sean mucho más propensas a confiar en lo que ven.
Un correo electrónico que parece proceder de su jefe, un mensaje de Teams que parece proceder de RR. HH. o una solicitud que parece urgente y rutinaria al mismo tiempo. Estos ataques están diseñados para reducir las sospechas y fomentar la toma de decisiones rápidas.
El auge de los «deepfakes» y la identidad sintética
La tecnología «deepfake» está llevando la ingeniería social a un nivel superior.
Las herramientas de clonación de voz y de creación de vídeos generados por IA son cada vez más accesibles, lo que ofrece a los atacantes nuevas formas de suplantar la identidad de personas de confianza. Las llamadas falsas de ejecutivos y los mensajes de vídeo manipulados ya se están utilizando en intentos de fraude y estafas financieras.
Lo preocupante es lo creíble que se ha vuelto esta tecnología.
Los empleados suelen confiar en los rostros y las voces que les resultan familiares, pero cuando alguien imita la voz de un alto directivo o aparece en pantalla con un aspecto convincente, la gente reacciona instintivamente de forma diferente.
En entornos de trabajo ajetreados, en los que las decisiones se toman con rapidez, no siempre resulta natural detenerse a preguntarse si una llamada de voz o un videollamada son auténticos. Eso es precisamente en lo que se basan los atacantes.
Por qué el comportamiento humano sigue siendo el objetivo principal
Puede que la inteligencia artificial esté impulsando estos ataques, pero las personas siguen siendo el verdadero objetivo.
Los atacantes conocen el comportamiento de los empleados cuando se encuentran bajo presión. Saben que las personas reaccionan rápidamente ante la autoridad, la urgencia y los estilos de comunicación que les resultan familiares. También saben que los empleados que están muy ocupados tienden a actuar primero y a plantear preguntas después.
La IA les ayuda a aprovechar esos comportamientos con mayor rapidez y a una escala mucho mayor. Por eso la ingeniería social sigue funcionando tan bien. Elude los controles técnicos al convencer a las personas de que faciliten voluntariamente información, credenciales o acceso, y a medida que las comunicaciones generadas por la IA se vuelven más convincentes, resulta cada vez más difícil distinguir entre las interacciones legítimas y las maliciosas.
Por qué los antiguos métodos de formación en seguridad ya no funcionan
Se han impartido numerosos cursos de sensibilización orientados a un tipo diferente de ataque de phishing. Se enseñó a los empleados a detectar señales de alerta evidentes, como errores ortográficos, un formato extraño y enlaces sospechosos. Sin embargo, los ataques generados por IA ya no se presentan así.
Los correos electrónicos de phishing actuales son muy bien elaborados, creíbles y personalizados. Los atacantes pueden imitar los estilos de comunicación y crear mensajes que parecen lo suficientemente auténticos como para burlar el instinto de las personas, lo que plantea un nuevo reto para los empleados.
Los ataques actuales son más difíciles de detectar porque parecen bien elaborados y legítimos, por lo que la detección se basa más bien en darse cuenta de cuándo algo resulta inusual, precipitado o ligeramente fuera de lo normal, lo que requiere buen criterio y experiencia con situaciones reales.
Los empleados necesitan una formación que refleje los ataques a los que se enfrentan realmente. Deben ver cómo funciona la manipulación en la práctica y comprender la rapidez con la que la presión y la urgencia influyen en la toma de decisiones.
Ahí es donde la formación en sensibilización basada en historias marca una verdadera diferencia.
«Cyber Police» utiliza narraciones realistas y situaciones cibernéticas dramatizadas para mostrar cómo se desarrollan los ataques actuales, incluidas las técnicas de presión y manipulación que emplean los atacantes para influir en el comportamiento. Ver cómo se desarrollan estas situaciones en su contexto ayuda a los empleados a reconocer señales de alerta similares en su propio entorno laboral y a reaccionar con mayor seguridad cuando algo les parezca sospechoso.
La inteligencia artificial está aumentando el volumen de los ataques
La inteligencia artificial también está facilitando la ampliación de los ataques de ingeniería social. Los atacantes pueden generar correos electrónicos de phishing en cuestión de segundos, investigar a sus víctimas de forma automática y personalizar los mensajes mucho más rápido que antes. Esto significa que las organizaciones se enfrentan a un mayor número de ataques a través de más canales de comunicación.
Para los equipos de seguridad, esto supone un reto. Ya hay una enorme cantidad de actividad que supervisar cada día, y el aumento del volumen de ataques dificulta la identificación rápida de comportamientos realmente peligrosos.
Los empleados se enfrentan a la misma presión. Correos electrónicos, mensajes de Teams, herramientas de colaboración, mensajes de texto, videollamadas. La comunicación no cesa nunca, y los atacantes saben que las personas son más propensas a cometer errores cuando están distraídas o actúan con prisas.
Por eso es necesario que la formación en materia de sensibilización resulte práctica y relevante para la vida laboral real.
El aspecto psicológico de los ataques impulsados por la IA
La ingeniería social basada en la inteligencia artificial funciona porque se centra en el comportamiento humano habitual. Es natural que las personas confíen en nombres que les resultan familiares y reaccionen ante situaciones de urgencia, sobre todo en el ámbito laboral. Quieren ser de ayuda y evitar retrasos.
Los atacantes lo saben y la inteligencia artificial les ayuda a aprovecharse de esos comportamientos. Por eso las organizaciones deben ir más allá de los controles técnicos. Los empleados deben sentirse seguros para tomarse su tiempo cuando algo les parezca sospechoso y verificar la información antes de reaccionar. Sin esa confianza, resulta mucho más difícil detener los ataques convincentes.
Por qué las organizaciones deben replantearse la formación en concienciación sobre seguridad
El aumento de los ataques impulsados por la inteligencia artificial está obligando a las organizaciones a replantearse su enfoque en materia de sensibilización sobre la ciberseguridad. Los módulos de formación en línea estáticos y centrados en el cumplimiento normativo tienen dificultades para preparar a los empleados ante ataques diseñados para parecer realistas y resultar emocionalmente convincentes.
Las personas aprenden mejor cuando pueden relacionar la formación con situaciones reales. Recuerdan mucho mejor las historias, las conversaciones y los ejemplos realistas que las listas genéricas de señales de alerta.
Por eso, la formación en materia de concienciación debe resultar más atractiva y estar más cerca de las situaciones que viven los empleados en su día a día. Los ataques modernos de ingeniería social están diseñados para parecer normales, por lo que los empleados necesitan una formación que los prepare para ello.
Preparación para la próxima generación de ingeniería social
Los ataques basados en la inteligencia artificial seguirán evolucionando, ya que la tecnología en la que se basan es cada vez más accesible y fácil de utilizar a gran escala. Las organizaciones no pueden basarse en enfoques de sensibilización obsoletos, centrados en tácticas de phishing anticuadas y señales de alerta evidentes.
Los empleados necesitan adquirir experiencia práctica con las técnicas de manipulación con las que es más probable que se encuentren, a fin de ganar la confianza necesaria para cuestionar las peticiones inusuales y actuar con cautela cuando algo les parezca sospechoso.
Las organizaciones que se adapten con mayor rapidez serán aquellas que combinen sólidos controles técnicos de seguridad con una formación en concienciación realista y centrada en el comportamiento, ya que, cuando la ingeniería social se industrialice, la formación en concienciación no podrá quedarse anclada en el pasado.
Obtenga más información sobre la Policía Cibernética
«Cyber Police» recurre al drama para dar vida a amenazas cibernéticas reales, lo que suscita el debate y pone en tela de juicio las ideas preconcebidas que tenemos hoy en día sobre los ciberataques.
Cada temporada aborda los ataques a los que los empleados se enfrentan con mayor frecuencia, desde el phishing y el ransomware hasta los deepfakes, y los recrea en forma de episodios apasionantes.
Al ver las amenazas desde la perspectiva de las personas afectadas, los empleados adquieren una mayor conciencia y la confianza necesaria para responder de manera eficaz.
Obtenga más información sobre Cyber Police y descubra cómo la formación en concienciación basada en historias ayuda a los empleados a reconocer y responder con confianza a las amenazas cibernéticas actuales.
Preguntas frecuentes sobre ingeniería social
¿En qué consiste la ingeniería social basada en la inteligencia artificial?
La ingeniería social basada en la inteligencia artificial consiste en el uso de la inteligencia artificial para crear ataques de phishing más convincentes y a mayor escala, así como estafas de suplantación de identidad estafasy comunicaciones fraudulentas diseñadas para manipular a las personas con el fin de que compartan información o realizar alguna acción.
¿Por qué son más difíciles de detectar los ataques de phishing basados en la inteligencia artificial?
La inteligencia artificial permite a los atacantes generar mensajes muy bien elaborados y profesionales que suenan naturales y relevantes para la persona que los recibe. Muchas de las señales de alerta tradicionales que se enseñaba a los empleados a detectar ya no son evidentes.
¿Qué papel desempeñan los «deepfakes» en los ciberataques?
Los «deepfakes» permiten a los atacantes imitar a personas de confianza mediante contenidos de audio o vídeo falsos. Esto puede utilizarse para crear suplantaciones de identidad muy convincentes. estafas, solicitudes de pago fraudulentas o comunicaciones internas falsas.
¿Por qué la formación tradicional en concienciación tiene dificultades para hacer frente a los ataques modernos de ingeniería social?
Muchos programas de sensibilización siguen centrándose en tácticas de phishing obsoletas y señales de alerta genéricas. Los ataques actuales se basan más en la psicología, la confianza, la urgencia y una comunicación creíble, lo que requiere una formación más realista y centrada en el comportamiento.
¿Cómo pueden las organizaciones preparar a sus empleados para hacer frente a las amenazas cibernéticas impulsadas por la inteligencia artificial?
Las organizaciones necesitan formación en materia de seguridad que refleje situaciones de ataque reales y ayude a los empleados a adquirir confianza a la hora de reconocer técnicas de manipulación y a reaccionar de forma adecuada bajo presión.