Seguridad autónoma a la velocidad de la IA

Diseño de una respuesta rápida ante amenazas para entornos modernos

Todavía recuerdo la sorpresa en las caras de mis compañeros a finales de 2016, cuando los primeros ataques de denegación de servicio distribuida (DDoS) superaron el umbral de 1 TB/s. La botnet Mirai, responsable del primer ataque DDoS de 1 TB/s de la historia, tenía más de 145 000 dispositivos IoT bajo su control para lanzar ataques tan devastadores.

En esa época, numerosos analistas de seguridad, ingenieros y especialistas trabajaban las veinticuatro horas del día en todo el mundo para mitigar estos ataques. Pero por muy sofisticados que fueran los ataques, los llevaron a cabo personas y fueron personas quienes los neutralizaron.

Ahora hemos superado un umbral. El panorama actual de amenazas no se caracteriza solo por su sofisticación, sino también por su enorme magnitud y autonomía. Hemos entrado en la era del ataque "hipervolumétrico", en la que la intervención humana no solo es lenta, sino que cada vez es más irrelevante.

Bienvenidos a la era de los ataques de más de 30 TB/s

Las métricas para la resiliencia han cambiado. Los ataques "récord" de años anteriores son ahora la norma actual, tal y como ha puesto de manifiesto un reciente informe sobre amenazas DDoS:

• El nuevo monstruo: la botnet Aisuru ha redefinido la escala, llevando los ataques a un máximo de 29,7 TB/s.

• La frecuencia: en el 4.º trimestre de 2025, los ataques DDoS a la capa de red aumentaron un 202 % en términos interanuales, según un informe.

• La velocidad: entre el 71 % y el 89 % de estos ataques duran menos de 10 minutos. Si tu estrategia de resiliencia se basa en una alerta genérica que despierta a un ingeniero, el ataque ya habrá terminado (y el daño ya estará hecho) antes incluso de que este pueda iniciar sesión.

¿Cómo podemos responder a un flujo constante de ataques a gran velocidad?

Aquí es donde entran la automatización y la IA. Un agente de IA no necesita iniciar sesión manualmente en la herramienta de gestión de información y eventos de seguridad (SIEM) ni en la herramienta de detección y respuesta de red (NDR) para saber qué está pasando. Lee los datos en tiempo real, comprende la situación y puede implementar ya contramedidas válidas (p. ej., añadir reglas de firewall, bloquear ciertos patrones de tráfico o protocolos). Con ese margen de tiempo, el centro de operaciones de seguridad (SOC) tiene tiempo para aprovechar la inteligencia humana y el poder del acceso para reforzar las defensas y verificar los cambios automatizados que han implementado los agentes de IA.

El punto ciego de la Shadow AI

La seguridad no consiste simplemente en mantener alejadas las amenazas, sino en mantener los datos privados a salvo. La rápida adopción de herramientas de IA por parte de los usuarios ha creado un enorme vacío en materia de gobernanza.

• El dato: Según IBM, el 20 % de las fugas de datos se deben ahora a la "Shadow AI", es decir, herramientas no autorizadas que usan los empleados para agilizar el trabajo.

• La realidad: un 63 % de las organizaciones afectadas admite no haber implementado aún una política de gobernanza de IA formal.

• La solución: no se puede proteger lo que no se puede ver. Hoy en día, la seguridad requiere tener una visión general completa de tu infraestructura tecnológica, incluidas tus herramientas SaaS, para saber qué es lo que debes vigilar y supervisar. Para hacer frente a la amenaza de la Shadow AI, se necesitan herramientas de prevención de pérdida de datos (DLP) diseñadas específicamente para detectar código propio o información de identificación personal (PII) que se pegue en modelos de lenguaje de gran tamaño (LLM) públicos.

Ya se acabó la época en la que bastaba con tener DLP para el correo electrónico y el uso del navegador. Con la evolución de los navegadores con IA, las API en cualquier parte y la IA agéntica, el antiguo modelo de cobertura de DLP ya no es suficiente. Debería ser prioritario el control centralizado. Los líderes tecnológicos deben saber qué herramienta recibe qué datos, y qué puede hacer cada herramienta con esos datos.

La defensa contra los deepfakes

El juego de la ingeniería social ha pasado de los errores ortográficos en los correos electrónicos a la réplica perfecta de la identidad. Hoy en día, los empleados reciben invitaciones a videollamadas con altos directivos, en las que les piden que hagan cosas como transferir grandes cantidades de dinero a algún sitio. Y tener a esas personas en una videollamada es sin duda, para casi cualquier persona, una clara señal de una petición legítima por parte de los altos cargos.

• El cambio: una de cada seis fugas implica tácticas basadas en la IA. El 35 % de estas utilizan suplantación de identidad por voz o vídeo con deepfake.

• El daño: el phishing, que a menudo se ve potenciado por la IA, puede suponer un coste medio de 4,8 millones de dólares por incidente.

• La solución: el entrenamiento de resiliencia debe evolucionar. Ya no se trata de detectar un correo electrónico falso, sino de verificar la identidad a través de canales de comunicación fuera de banda.

No es solo que cada vez haya más basura generada por IA en las redes sociales. Lo que es aún más preocupante es que también estamos asistiendo a un enorme aumento de los ataques de ingeniería social con deepfakes. Cuando un ejecutivo de Ferrari recibió una llamada de su CEO, la única forma que tuvo de mitigar lo que resultó ser un ataque fue hablar brevemente de un libro sobre el que ambos habían intercambiado opiniones; por supuesto, el atacante no tenía ni idea y no supo qué responder.

Por tanto, deberíamos volver a los nombres en clave antiguos, para asegurarnos de que la persona con la que hablas realmente es esa persona y no un atacante respaldado por una deepfake de IA. Pero la implementación de una seguridad del correo electrónico impulsada por la IA también permite interceptar los intentos de phishing rápidamente a escala, mediante el análisis de cientos de atributos del correo electrónico.

Ransomware: el paso hacia la extorsión

Después de años de pagos de rescates muy elevados tras ataques de ransomware exitosos, por fin estamos viendo cómo bajan estas cifras. Sin embargo, como el modelo de negocio del ransomware se ha desmoronado, esto está obligando a los atacantes a cambiar también de táctica.

• El descenso: solo el 36 % de las víctimas pagó el rescate en el 3.er trimestre de 2025, un mínimo histórico.

• El cambio: para compensarlo, el 76 % de los ataques ahora incluyen el robo de datos, en lugar de limitarse solo a la encriptación.

• La lección: las copias de seguridad ya no son suficientes. La seguridad y la resiliencia verdaderas requieren detener la exfiltración de datos. Si no pueden robar la información, no podrán chantajearte.

Pasar de un ataque de ransomware "estándar" a un esquema de doble o incluso triple extorsión era la evolución lógica de esta clase de actividades delictivas. Eso, por supuesto, tiene que influir en nuestras capacidades de defensa.

Aunque durante un tiempo la encriptación de los datos se consideraba un control compensatorio suficiente, debemos aspirar a más y no dejar que ningún dato salga de nuestro entorno informático si no hay una razón empresarial clara y válida para ello. Y con el auge de la computación poscuántica en el horizonte, la amenaza de "recopilar ahora, desencriptar más tarde" se vuelve aún más preocupante. Piensa en la enorme cantidad de datos robados, pero encriptados, que están almacenados en el disco duro de alguien, a la espera de que haya suficiente potencia de cálculo para descifrarlos y utilizar los datos sin procesar en la siguiente fase del ataque.

Implementación de la seguridad autónoma

Hoy en día, la seguridad es autónoma o no es nada. Tenemos que implementar sistemas que puedan pensar y reaccionar rápidamente, porque las amenazas a las que se enfrentan también lo hacen. Dichos sistemas deben poder absorber ataques importantes y bloquear amenazas, desde los ataques DDoS a los deepfakes, sin intervención humana ni complicar la gestión de la solución.

Cloudflare ofrece una gama completa de capacidades de seguridad que pueden ayudar a tu equipo a responder rápida y automáticamente a las amenazas. Por ejemplo, la protección DDoS de Cloudflare puede mitigar incluso los ataques DDoS más grandes y rápidos. Y Cloudflare Email Security proporciona una protección basada en la IA para bloquear automáticamente las amenazas de phishing sofisticadas y mejoradas con IA. Como la conectividad cloud de Cloudflare integra todas las soluciones de seguridad en una única plataforma, puedes añadir fácilmente capacidades autónomas sin añadir complejidad a la gestión.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Más información sobre este tema

Descubre cómo la IA está transformando el panorama empresarial y de la seguridad, y hazte con una guía práctica para proteger a los usuarios, los datos y las aplicaciones en el libro electrónico Modernizar la seguridad para la era de la IA.

Autor

Max Imbiel – @maximbiel
CISO, Cloudflare

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Por qué los ataques hipervolumétricos superan a las tácticas de mitigación tradicionales

• El papel de los sistemas autónomos en la lucha contra las falsificaciones y el robo de datos

• Cómo implementar defensas basadas en la IA y aplicar la gobernanza de la Shadow AI

Recursos relacionados

• Modernizar la seguridad para la era de la IA

• Defiéndete contra el aumento de los ataques DDoS a la capa de aplicación

• Los atacantes recurren al phishing en nuevos ámbitos