La creciente digitalización de la vida ha llegado a convertir la ciberseguridad en un elemento central, no solo para las empresas, sino para los usuarios que hacen uso de las herramientas que están presentes en cada paso de nuestro día a día. Es importante señalar que no todo es tecnología, sino que las personas también son parte de este mundo de ciberseguridad y hay que concienciarlas y formarlas. Las personas y la tecnología, unidas, son las que construyen la ciberseguridad.
En este contexto, la rápida expansión que ha tenido la Inteligencia Artificial generativa en los últimos años ha introducido una nueva capa de complejidad en el panorama económico y ciudadano. El fenómeno del shadowgenAI (el uso no autorizado o no controlado de herramientas de IA generativa) se perfila como uno de los riesgos emergentes más significativos de los próximos años.
Índice de temas
El cibercrimen como servicio empresarial
El “Informe de Ciberamenazas 2025” de Sopra Steria describe un escenario donde los ciberdelincuentes han perfeccionado sus tácticas, técnicas y procedimientos. El phishing, el ransomware y la explotación de vulnerabilidades siguen siendo los modos de ataque predominantes.
Por un lado, el phishing multicanal, los ataques adversary-in-the-middle (AiTM) y las plataformas de phishing-as-a-service (PhaaS) han democratizado el acceso a técnicas avanzadas, permitiendo que incluso actores con escasa experiencia técnica puedan lanzar campañas sofisticadas. Además, ha crecido el número de infostealers y aumentado el mercado del ransomware-as-a-service (RaaS), que ha convertido la extorsión digital en un negocio rentable, escalable y resiliente.
No obstante, todas estas situaciones se ven ahora potenciadas por el uso de herramientas legítimas basadas en IA. Esta tecnología, como vamos a ver, no solo se puede usar para automatizar los ataques o reforzar los intentos de phishing, sino que puede ser el punto de entrada de los ciberdelincuentes en las empresas.
Una hoja de ruta completa y continua en el tiempo
El shadowgenAI emerge como una amenaza silenciosa pero potencialmente devastadora. El término hace referencia al uso de herramientas de IA generativa, como chatbots, asistentes de código o plataformas de creación de contenido, que no han pasado los controles necesarios por parte de los departamentos de TI. Esta práctica, impulsada por la búsqueda de eficiencia y la presión por innovar, puede derivar en incumplimientos normativos, en la introducción de vulnerabilidades en la cadena de suministro del software y, por supuesto, en la exposición de datos confidenciales.
Por ello, es importante implementar políticas claras sobre el uso de IA generativa, estableciendo qué herramientas están permitidas y bajo qué condiciones o, incluso, contar con algún partner que nos ayude a implementar nuestras propias soluciones (ya sea para la generación de contenido o para realizar consultas internas sobre documentación o procesos empresariales).
Además, debemos monitorizar y auditar el uso de servicios externos, identificando posibles casos de shadowgenAI y reaccionando de manera proactiva, y por supuesto formar y sensibilizar a los empleados sobre los riesgos asociados al uso de herramientas no autorizadas y la importancia de proteger la información corporativa.
La tecnología, por sí sola, no basta. Las personas siguen siendo el eslabón más débil y a la vez más crítico de la cadena de seguridad. La concienciación y la formación continua son esenciales para que los empleados comprendan los riesgos y adopten buenas prácticas, como la protección de contraseñas fuertes, la autenticación multifactor y la gestión responsable de la información.
El shadowgenAI pone de manifiesto la necesidad de una cultura de seguridad transversal, donde la innovación y la protección de datos vayan de la mano. No se trata de frenar el avance tecnológico, sino de canalizarlo alineándonos con los objetivos y valores de la organización. Y esto, no solo aplica para los entornos empresariales, sino a todos los aspectos de una vida que, cada vez más, sucede de manera virtual. La identidad digital gana terreno, hacemos trámites con la administración, realizamos compras y nos relacionamos a través de internet.
Así, la ciberseguridad en los próximos años exigirá una visión holística y adaptativa. Solo a través de la combinación de tecnología, procesos robustos y una cultura organizacional y pública orientada a la protección será posible anticipar y mitigar las amenazas emergentes. La batalla por la resiliencia digital no tiene fin, pero con inteligencia, preparación y compromiso, será posible mantenerse un paso por delante de los malos.
