IA y ciberseguridad

20.1La IA al servicio del ataque

En pocas palabras

La IA reduce el coste y eleva el nivel de los ciberataques, al automatizar lo que antes exigía tiempo y experiencia. Sin entrar en ningún detalle técnico, pueden citarse las grandes categorías:

La ingeniería social a gran escala: generar correos de suplantación de identidad («phishing») impecables, personalizados y sin faltas, en todos los idiomas y de forma masiva.
El fraude por deepfake: clonar la voz o el rostro de un directivo para autorizar una transferencia o engañar a un empleado (capítulo 21). Ya se han documentado fraudes de este tipo por sumas considerables.
La asistencia al código malicioso y al descubrimiento de fallos: ayudar a los atacantes a producir o adaptar programas dañinos, o a detectar vulnerabilidades más rápido.
Los ataques agénticos: el uso de agentes (capítulo 6) capaces de llevar a cabo etapas de un ataque de forma semiautónoma.

20.2La IA al servicio de la defensa

En contexto

Cuando la IA encuentra los fallos mejor que los humanos (el punto de inflexión de 2026)

En 2026 se cruzó un umbral: los mejores modelos de frontera se volvieron capaces de descubrir y explotar vulnerabilidades de software al nivel de los mejores expertos humanos, a una escala inédita. El modelo Mythos de Anthropic sacó a la luz miles de fallos desconocidos («zero-days») en todos los grandes sistemas operativos y navegadores, algunos de los cuales habían pasado inadvertidos durante décadas (un fallo de 27 años en OpenBSD, otro de 16 años en el componente de vídeo FFmpeg que ninguna prueba automatizada había detectado). Se trata de un doble filo característico: la misma capacidad que vuelve peligroso a un modelo en malas manos lo hace valioso para tapar los fallos antes de que sean explotados. De ahí, en abril de 2026, el proyecto Glasswing, una coalición defensiva que reúne a Anthropic y a grandes actores de la tecnología y las finanzas (Amazon, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Fundación Linux, Microsoft, NVIDIA, Palo Alto Networks...) para poner estas capacidades al servicio de la seguridad, incluida la de los mantenedores de software de código abierto; otros laboratorios desarrollan en paralelo sus propias herramientas (por ejemplo, Big Sleep y CodeMender en Google). El reverso apareció en junio de 2026: invocando el control de las exportaciones y la seguridad nacional, el gobierno estadounidense suspendió, de un día para otro, el acceso a los modelos Fable y Mythos para cualquier ciudadano extranjero, por temor a un uso indebido de sus capacidades cibernéticas. El episodio alimentó un intenso debate: para el gobierno, se trataba de seguridad nacional; para Anthropic, la medida era desproporcionada y se basaba en una elusión menor que otros modelos públicos también presentaban; para algunos observadores, un producto presentado casi como un «arma» acaba siendo tratado como tal por el Estado. Es uno de los primeros casos en que un control a la exportación apunta a un modelo de IA, y ya no solo a chips (capítulos 22 y 25).

20.3La seguridad de los propios sistemas de IA

En pocas palabras

He aquí una dimensión nueva y crucial: los propios sistemas de IA son una superficie de ataque. Asegurar la IA se ha convertido en una disciplina por derecho propio, pues los modelos presentan vulnerabilidades inéditas:

La inyección de instrucciones («prompt injection»): introducir, en una página web o un documento que la IA va a leer, órdenes ocultas que desvían a un agente (capítulo 6), por ejemplo para hacerle exfiltrar datos. Es uno de los fallos más preocupantes de los agentes.
La elusión de las salvaguardas («jailbreak»): formular peticiones que llevan a un modelo a infringir sus propias reglas.
El envenenamiento de los datos: corromper los datos de entrenamiento para introducir comportamientos maliciosos o puertas traseras.
El robo de modelo: extraer, mediante consultas repetidas, las capacidades o los parámetros de un modelo propietario.
La cadena de suministro: descargar un modelo o un componente de código abierto comprometido (pesos manipulados, dependencia maliciosa), o desplegar código «vibe-codeado» sin auditar (sección 6.7) que incorpora fallos. El caso Moltbook (capítulo 6) lo ilustró.
La «IA en la sombra» (shadow AI): el uso, por parte de empleados, de herramientas de IA no aprobadas en las que pueden filtrarse, sin que lo sepan, datos sensibles de la empresa.

En contexto

OpenClaw, un caso de manual

En 2026, el agente autónomo de código abierto OpenClaw (capítulo 6) ilustró concretamente este peligro. Investigadores de seguridad, y después el equipo nacional chino de respuesta a incidentes (CNCERT), demostraron que sus configuraciones por defecto poco seguras permitían una inyección de instrucciones indirecta: al ocultar órdenes en una página web o un documento que el agente iba a leer, un atacante podía hacerle exfiltrar datos o ejecutar comandos en la máquina anfitriona. La amenaza se tomó lo bastante en serio como para que las autoridades chinas restringieran el uso de OpenClaw en los ordenadores de las administraciones y de las empresas públicas. La lección vale para todos los agentes: su propia autonomía constituye una superficie de ataque.

En contexto

Dos ataques más sutiles, y los marcos para defenderse de ellos

A los fallos anteriores se suman dos ataques que apuntan al propio modelo de forma más insidiosa. Los ejemplos adversariales (adversarial examples) consisten en modificar una entrada de manera imperceptible para un humano pero que engaña al modelo: unos pocos píxeles alterados y una señal de «stop» se lee como un límite de velocidad, o una pegatina hace desaparecer un objeto a ojos de un sistema de visión. La inferencia de pertenencia (membership inference) busca, por su parte, adivinar si un dato concreto (el historial médico de una persona, por ejemplo) formaba parte de los datos de entrenamiento, lo que plantea un problema de confidencialidad. Frente a esta zoología de amenazas propias de la IA, se han estructurado marcos de referencia para inventariarlas y guiar a los defensores, en particular la matriz MITRE ATLAS (el equivalente, para la IA, de las bases de tácticas de ataque clásicas) y un «top 10» de los riesgos de las aplicaciones basadas en grandes modelos publicado por OWASP. Conocer el mapa de los ataques es el requisito previo de toda defensa metódica.

En contexto

La destilación, o cómo copiar una IA sin tocar su código

El robo de modelo mencionado antes tiene una forma particular, convertida en tema candente en 2026: la destilación. El principio, por lo demás corriente y legítimo (capítulo 4), consiste en entrenar un modelo para que imite las respuestas de otro más eficaz. Aplicado sin autorización al modelo cerrado de un competidor, equivale a capturar su saber hacer únicamente a través de la interfaz pública: se bombardea la API con preguntas, se registran las salidas y se usan para entrenar un sistema rival a menor coste, sin pagar la investigación fundamental. En junio de 2026, Anthropic acusó así al laboratorio chino Qwen (Alibaba), en una carta al Senado estadounidense, de haber llevado a cabo la mayor operación conocida de este tipo: cerca de 28 millones de intercambios a través de decenas de miles de cuentas falsas para eludir las salvaguardas; acusaciones similares ya habían apuntado a DeepSeek, Moonshot y MiniMax, y OpenAI había formulado otras comparables con anterioridad. El problema es temible: el producto de una IA son sus respuestas, y difícilmente se pueden vender e impedir a la vez que se lean. Las defensas (marcado de las salidas con marca de agua, ofuscación de las trazas de razonamiento, detección por comportamiento) siguen siendo imperfectas. A todo ello se suma, por último, un riesgo de seguridad: un modelo clonado por destilación hereda las capacidades del original sin heredar necesariamente sus salvaguardas (capítulo 24).

20.4Una carrera ofensiva-defensiva permanente

Esquema20.1. Las tres caras de la IA en la ciberseguridad. La IA es a la vez un arma ofensiva, un escudo defensivo y un nuevo sistema que proteger. Las tres avanzan juntas, en una carrera permanente.

En contexto

Hacia agentes de ciberataque autónomos

El gran cambio en curso es el paso de herramientas que asisten a un pirata humano a agentes (capítulo 6) capaces de encadenar por sí solos las etapas de un ataque: reconocimiento de un objetivo, búsqueda de un fallo, explotación y luego avance dentro del sistema, con una intervención humana mínima. El punto de inflexión de 2026 sobre el descubrimiento de fallos (sección 20.3) es su signo precursor: una vez que un modelo sabe encontrar vulnerabilidades a gran escala, el paso siguiente es hacerle orquestar la cadena completa. De hecho, laboratorios y empresas de seguridad informaron, en 2025-2026, de operaciones maliciosas reales en las que gran parte del trabajo se delegaba en un agente. Esa misma autonomía sirve, evidentemente, a la defensa (agentes que vigilan, detectan y responden de forma continua, más rápido que un equipo humano), lo que reaviva la carrera de la sección anterior, pero a un ritmo de máquina. Es también la razón por la que estas capacidades están en el centro de las evaluaciones de seguridad (capítulo 24) y de la cuestión de la autonomía, uno de los umbrales que los laboratorios vigilan con más atención. Como en otros casos, el curso se mantiene en el nivel del riesgo, sin ningún detalle técnico.

En el horizonte, la perspectiva de ciberataques (y de ciberdefensas) cada vez más autónomos plantea cuestiones que desbordan lo puramente técnico y enlazan con la defensa (capítulo 22), la seguridad (capítulo 24) y la gobernanza (capítulo 25). La ciberseguridad se convierte así en uno de los terrenos donde se decidirá concretamente el control de la IA.

Para recordar (capítulo 20)

La IA reduce el coste de los ciberataques (suplantación de identidad a gran escala, fraude por deepfake, ayuda al código malicioso, agentes ofensivos): una democratización de la capacidad ofensiva.
Es también una defensa potente (detección de anomalías, respuesta automatizada, análisis de la amenaza), pero una asimetría podría favorecer a la ofensiva a corto plazo.
Los propios sistemas de IA son vulnerables: inyección de instrucciones, jailbreak, envenenamiento de los datos, robo de modelo. Asegurar la IA es una disciplina nueva.
Es una carrera permanente ataque-defensa, que enlaza con la defensa (cap. 22), la seguridad (cap. 24) y la gobernanza (cap. 25).

De las amenazas técnicas a los marcos que deben encuadrarlas: el capítulo 21 aborda el derecho y la sociedad, y el capítulo 22, la defensa.

20.1La IA al servicio del ataque#

20.2La IA al servicio de la defensa#

20.3La seguridad de los propios sistemas de IA#

20.4Una carrera ofensiva-defensiva permanente#

Para recordar (capítulo 20)

20.1La IA al servicio del ataque

20.2La IA al servicio de la defensa

20.3La seguridad de los propios sistemas de IA

20.4Una carrera ofensiva-defensiva permanente