Ante el rápido avance de las amenazas impulsadas por inteligencia artificial (IA), el 35 por ciento de las organizaciones europeas no pueden afirmar si han sufrido un ciberataque impulsado por estas tecnologías, siendo los ataques 'phishing' y de ingeniería social los más difíciles de detectar.
Así se desprende de la última investigación 'AI Pulse Poll' elaborada por la asociación global para profesionales de la confianza digital ISACA, que apunta a una "brecha creciente" entre el ritmo de las amenazas impulsadas por IA y la capacidad de las organizaciones para ver y gestionar los riesgos a los que se enfrentan.
Concretamente, de entre los profesionales encuestados a nivel europeo con perfiles de auditoría de TI, gobernanza, ciberseguridad y tecnologías emergentes, el 71 por ciento asegura que los ataques de 'phishing e ingeniería social impulsados por IA son ahora más difíciles de detectar.
Siguiendo esta línea, el 58 por ciento también asegura que la IA ha hecho "significativamente más difícil" autenticar la información digital y el 38 por ciento, que su confianza en los métodos tradicionales de detección de amenazas ha disminuido como consecuencia de ello.
Como consecuencia, un tercio de las organizaciones, concretamente el 35 por ciento de los encuestados, reconoce no poder diferenciar si ha sufrido un ciberataque impulsado por IA o de forma tradicional.
Parte de esta dificultad para discernir radica en la utilización de información errónea y la desinformación como principal riesgo relacionado con la IA en la actualidad, según el 87 por ciento de los encuestados. A ello se le suman las vulneraciones de privacidad y la ingeniería social, en el 75 y 60 por ciento de los casos.
Es decir, que los equipos de seguridad de las organizaciones tienen dificultades para gestionar esta desinformación, con herramientas en las que antes confiaban pero que ahora están quedando obsoletas frente a la IA.
USO DE IA PARA CIBERATAQUES Y PARA DEFENSA
En el caso concreto de España, desde ISACA han aputnado a una presión creciente sobre los canales de ayuda y respuesta ante incidentes, que evidencia esta situación de aumento de ciberataques impulsados por IA.
Al respecto, han recordado que, según el balance de ciberseguridad de INCIBE, el pasado año se detectaron más de 122.000 incidentes de ciberseguridad y se atendieron 142.767 consultas, esto es, un 44,9 por ciento más que en 2024.
Sin embargo, la organización también ha puesto sobre la mesa que la IA no es una tecnología "unilateral", ya que, igual que se utiliza para los ciberataques, también está demostrando ser una valiosa herramienta defensiva.
En este marco, el 43 por ciento de las organizaciones afirma que esta tecnología ha mejorado la capacidad de su organización para detectar y responder a las ciberamenazas, y el 34 por ciento ya la está implantando específicamente para mejorar la ciberseguridad.
ADOPCIÓN DE IA SIN UNA SUPERVISIÓN ADECUADA
Con todo ello, desde ISACA también han detallado que para hacer realidad este potencial defensivo, las organizaciones deben contar con "la experiencia y la gobernanza necesarias" para desplegar la IA de forma eficaz.
Al mismo tiempo, ha matizado que resulta "especialmente preocupante" que estas amenazas con IA se estén desarrollando en paralelo a una adopción generalizada de la IA en los lugares de trabajo europeos.
Así, el 82 por ciento de organizaciones permiten expresamente el uso de IA en el trabajo y un 74 por ciento el uso de IA generativa, de tal manera que incorporan esta tecnología al trabajo operativo principalmente para la creación de contenido escrito (69%), el aumento de productividad (63%), la automatización de tareas repetitivas y el análisis de grandes conjuntos de datos (54% y 52%, respectivamente).
Como resultado, el 77 por ciento dice ahorrar tiempo y el 40 por ciento afirma que la IA ha aumentado su capacidad de producción sin necesidad de incrementar la plantilla.
Desde ISACA aseguran que esta rápida adopción no se ha acompañado de la gobernanza necesaria y que solo el 42 por ciento de las organizaciones cuenta con una política formal e integral de IA. Por su parte, el 33 por ciento no exige a los empleados que declaren cuándo la IA ha contribuido a los productos de trabajo.
Como resultado de todo ello, el 87 por ciento de los profesionales manifiesta preocupación por el uso no autorizado de la IA por parte de los empleados y el 26 por ciento asegura que su mayor reto con la IA es la falta de confianza en que proteja adecuadamente la propiedad intelectual y la información sensible.
"El hecho de que tantas empresas operen sin la gobernanza necesaria para ver dónde se está utilizando la IA, por no hablar de cómo, agrava significativamente esa exposición" a los ciberataques impulsados por IA, según ha valorado el director de Estrategia Global de ISACA, Chris Dimitriadis.
"Cerrar esa brecha empieza por el desarrollo profesional y por impulsar la experiencia necesaria para construir e integrar una gobernanza de la IA que resista bajo presión. Hacerlo es ahora un imperativo de seguridad", ha apostillado.
LOS PROFESIONALES NO SE SIENTEN PREPARADOS PARA CERRAR ESTA BRECHA
Finalmente, el informe también deja ver que la brecha de gobernanza recae sobre los profesionales y muchos no se sienten preparados para hacerlo. Así, más de la mitad afirma que necesita mejorar sus competencias en los próximos seis meses para conservar su empleo.
Igualmente, el 41 por ciento señala la creciente brecha de competencias como uno de los mayores riesgos que plantea la IA. Sin embargo, una quinta parte (21 por ciento) de las organizaciones sigue sin ofrecer ninguna formación formal en IA.
Frente a todo ello, el entorno regulatorio añade más urgencia, con el Reglamento de IA de la Unión Europea como marco de gobernanza más mencionado en la encuesta, citado por el 45 por ciento de las organizaciones, por delante de NIST (26%).
"El riesgo de IA requiere profesionales capaces de evaluar la exposición, integrar la supervisión a lo largo de todo el ciclo de vida y asesorar sobre las mejores prácticas regulatorias. Las organizaciones que inviertan ahora en esa capacidad no solo estarán mejor protegidas; también estarán mejor posicionadas para aprovechar plenamente los beneficios de la IA", ha concluido Dimitriadis.
