Cuando la IA se vuelve descontrolada: cómo el agente IA transformará los ataques de ingeniería social

Christina Lekati

Christina Lekati. 22 de mayo de 2025. MEDIUM

Los ciberdelincuentes rara vez se incorporan tarde a las nuevas tecnologías. De hecho, suelen ser de los primeros en experimentar con ellas. No tienen las limitaciones que afectan a las organizaciones legítimas. Pueden actuar con rapidez, asumir riesgos y operar sin preocuparse por la ética ni los marcos legales.

Actualmente se está produciendo un cambio significativo en la inteligencia artificial: la IA agencial.

La IA agencial son sistemas que van más allá de ofrecer sugerencias o apoyar tareas basadas en la intervención humana. En cambio, son capaces de planificar y ejecutar tareas por sí mismos.

Dentro de este ecosistema existen agentes de IA autónomos capaces de planificar, tomar decisiones y actuar en colaboración autónoma. Reciben retroalimentación, aprenden, se adaptan y vuelven a intentarlo. Todo ello sin intervención humana significativa.

En términos simples:

La IA agenética se refiere al sistema completo de agentes de IA que trabajan en conjunto. Estos sistemas pueden tomar decisiones, adaptarse a la retroalimentación y completar tareas orientadas a objetivos.

Los agentes de IA son los componentes individuales de ese sistema. Cada agente es responsable de tareas específicas.

Los flujos de trabajo agenéticos son procesos estructurados que guían a los agentes de IA en la colaboración. El flujo de trabajo permite que los múltiples pasos de una tarea se ejecuten de principio a fin con mínima o nula intervención humana.

¿No es interesante? Nuestro mundo está cambiando rápidamente.

El mes pasado, Gartner publicó un informe que predice que para 2029, la IA agente será capaz de resolver el 80% de las interacciones rutinarias de servicio al cliente sin intervención humana.

Esto plantea automáticamente la pregunta: ¿cuánto tiempo pasará hasta que los actores maliciosos sigan la misma lógica y adopten una IA agente para crear interacciones digitales autónomas, efectivas y de apariencia legítima con fines maliciosos?

Este desafío ya está empezando a tomar forma.

Dado que la mayoría de las interacciones digitales ahora comienzan en línea, los atacantes tienen más oportunidades que nunca. A medida que la inteligencia artificial evoluciona de una herramienta de apoyo a agentes autónomos capaces de planificar a largo plazo y tomar decisiones adaptativas, la industria de la ciberseguridad se enfrenta a un panorama de amenazas en rápida evolución. El auge de la IA agéntica ha abierto nuevas fronteras para los adversarios que buscan automatizar y escalar los ataques de ingeniería social.

Veamos los primeros avances que podemos esperar.

La IA agente y el futuro de la ingeniería social: avances clave

Reconocimiento automatizado.

Los agentes de IA pueden encargarse de realizar reconocimiento en línea de objetivos de diversas maneras. Esto puede incluir:

  • Identificar vulnerabilidades en la infraestructura física (por ejemplo, diseños de edificios, puntos de entrada, controles de seguridad)
  • Mapeo de estructuras organizacionales, políticas y jerarquías (basado en datos públicos como sitios web de reseñas de empleadores, entrevistas, documentos filtrados)
  • Monitoreo de próximos planes de viaje y apariciones públicas (relevante para la protección ejecutiva)

Pero también:

  • Perfiles de comportamiento; análisis de huellas digitales para comprender hábitos, preferencias, motivos y debilidades personales.
  • Adaptar un enfoque de ingeniería social; crear estrategias de ataque personalizadas basadas en los patrones de comportamiento del objetivo, las debilidades conocidas y la dinámica corporativa

Deepfakes de voz y vídeo.

En combinación con la IA generativa, los sistemas agénticos podrán simular de forma convincente a ejecutivos, socios comerciales, clientes o colegas de confianza en llamadas telefónicas o mensajes de voz casi en tiempo real. Esto reducirá el retraso que suele asociarse con los deepfakes (una señal de detección conocida), haciendo que las comunicaciones maliciosas parezcan más auténticas y mucho más difíciles de detectar.

Interacciones en cadena e intentos de phishing.

También se espera que las interacciones en línea más prolongadas se vuelvan más automatizadas y mejoradas.

Hasta ahora, en las interacciones digitales con soporte de LLM (por ejemplo, a través de redes sociales, smishing o intentos de phishing selectivo), los chatbots tradicionales han tenido dificultades para mantener el contexto conversacional durante mucho tiempo sin intervención humana. Esto se debe a que los sistemas basados ​​en reglas siguen guiones fijos y, por lo tanto, durante interacciones más largas, suelen generar respuestas irrelevantes o fragmentadas.

Por otro lado, las capacidades de memoria y orquestación de Agentic AI la hacen ideal para rastrear conversaciones largas, mantener el flujo conversacional y mantener la relevancia y coherencia contextual durante toda la interacción, sin supervisión humana. Se espera que esto aumente la calidad, la escalabilidad y la eficacia de los ataques de ingeniería social dirigidos a individuos específicos en escenarios de ataque más prolongados.

Adaptabilidad del enfoque multivectorial

Otro desarrollo clave será la capacidad de aprender y refinar sus interacciones en función de cómo responden los objetivos atacados. El sistema recopilará datos sobre los tipos de enfoques más eficaces y los perfiles, datos demográficos o incluso departamentos de la empresa más vulnerables, lo que hará que cada ataque posterior sea más convincente y efectivo. Esto puede incluir un enfoque multivectorial: si los correos electrónicos de phishing no funcionan, el sistema puede recurrir al phishing selectivo o a mensajes de texto o audio telefónicos.

Ejemplo:

Supongamos que un actor de amenazas patrocinado por un estado implementa un sistema de IA con un único objetivo principal: hacerse pasar por el organizador de una conferencia y usar esa identidad para atraer a una persona de alto valor a una trampa de phishing. El proceso consiste en convencer al objetivo, mediante una serie de correos electrónicos personalizados, para que acepte una invitación a hablar en un evento prestigioso en el extranjero. El objetivo final es que el objetivo se registre en la conferencia haciendo clic en un enlace, iniciando sesión en la plataforma fraudulenta de la conferencia a través de su cuenta de Microsoft, Google u otra cuenta (configurada para recopilar datos) y descargando un formulario de registro malicioso. Lo que para el objetivo parece una tarea administrativa es, en realidad, un intento de vulneración bien disimulado.

Tras bambalinas, la IA desglosa este objetivo en una red coordinada de subobjetivos. Cada agente de IA se despliega para diferentes componentes de la operación. Uno comienza recopilando información de código abierto sobre el destinatario, analizando sus intereses, sus charlas anteriores y su huella digital. Otro redacta el correo electrónico inicial de contacto y adapta el tono, el tema y los detalles para que el destinatario se sienta identificado. Un tercero supervisa las respuestas, analiza los patrones de sentimiento y participación, y ajusta el tono o el contenido de los mensajes futuros. Otro agente puede supervisar toda la orquestación: el seguimiento del progreso, la gestión de las dependencias y la coherencia entre las interacciones.

Lo que hace poderoso a este sistema no es solo su estructura y autonomía. También es su adaptabilidad. Si el objetivo ignora el primer correo electrónico, el sistema no se detiene. Analiza el motivo. ¿El mensaje fue demasiado vago? ¿Demasiado genérico? ¿El canal de comunicación no fue el adecuado? Se activan ciclos de retroalimentación. La campaña evoluciona. Se envía un correo electrónico revisado con mejores ganchos o un contexto más atractivo. El sistema sigue aprendiendo e iterando. Si una estrategia falla, ajusta el rumbo. Si una táctica funciona, se guarda y se reutiliza con otros objetivos con perfiles o experiencias similares.

El sistema sigue trabajando en ello. No hay necesidad de dormir, no hay demoras para la coordinación del equipo, no hay vacilación. Solo optimización continua para alcanzar el objetivo. Cada interacción son datos. Cada dato es una lección. Y cada lección se retroalimenta al sistema para que el siguiente intento sea más inteligente, rápido y convincente.

***Verificación de la realidad***

¿Qué tan bien podemos esperar que la IA Agentic realice *realmente* todas estas tareas? Al fin y al cabo, los grandes modelos de lenguaje y las herramientas de clonación de IA no son perfectos, ni tampoco lo son los sistemas que se basan en ellos.

Bueno, aún está por verse. Sin embargo, lo que sí es indudable es que hemos presenciado mejoras exponenciales en todos los sistemas de IA, a pesar de que sus primeros modelos presentaban deficiencias significativas. También podemos esperar avances significativos en las capacidades de los sistemas de IA con agentes.

Si la historia sirve de guía, lo que hoy parece ciencia ficción mañana puede convertirse silenciosamente en parte del conjunto de herramientas de un atacante.

Entonces… ¿Cuál es la situación AHORA MISMO?

Las estafas de ingeniería social actuales ya no se caracterizan por errores tipográficos, acentos extraños, vídeos borrosos (o inexistentes) ni señales de alerta evidentes. Ahora se caracterizan por una gramática impecable, voces clonadas bastante realistas y vídeos de personas que nunca han existido o que han sido clonadas para parecerse a tu jefe, ejecutivo o compañero de trabajo.

Ya estamos observando un claro aumento tanto en la calidad como en el volumen de los intentos de phishing y de phishing selectivo. Los ataques dirigidos también son más eficaces, más personalizados y más difíciles de detectar.

Esto no es solo lo que hemos observado en los casos de nuestros clientes. Estos hallazgos también se reflejan en informes del sector, como el Informe del Panorama de Amenazas 2024 de ENISA y el Informe de Investigaciones de Violaciones de Datos 2025 de Verizon .

Informe sobre el panorama de amenazas de ENISA 2024

Si bien los ataques de voz y video siguen evolucionando, mejoran rápidamente. Actualmente, crear clones de voz y video convincentes aún requiere tiempo y esfuerzo, especialmente para conversaciones dinámicas en tiempo real. Los videos deepfake siguen siendo relativamente poco comunes, pero la clonación de voz sigue ganando popularidad entre los actores de amenazas, especialmente en forma de mensajes de voz pregrabados en plataformas como WhatsApp.

Sorprendentemente, algunos de esos ataques basados ​​en audio están demostrando ser efectivos, incluso cuando suenan “robóticos” o tienen un estilo de habla diferente al de la persona que se supone que los envía.

He aquí por qué:

Vivimos en una época en la que los trabajadores compaginan múltiples responsabilidades. Tienen mayores expectativas en el trabajo y la familia, y se enfrentan a más presión y estrés que probablemente nunca.

No es la mejor combinación de variables para lograr claridad y un filtrado cognitivo adecuado.

Ahora bien, a eso hay que añadir un entrenamiento pasivo e insuficiente (a menudo vídeos de 15 minutos unas cuantas veces al año).

Ese es el cóctel peligroso. La tormenta perfecta.

Últimos pensamientos

A pesar de todos los avances, algunas organizaciones todavía dicen cosas como:

Nuestros empleados siguen cayendo en correos electrónicos de phishing básicos, y hemos desistido de intentar mejorarlo. Simplemente realizan una capacitación grabada en video, cumplimos con los requisitos de cumplimiento, y listo.

—Oh, podemos recibir un par de golpes de seguridad. Nos recuperaremos, pagaremos algo, y listo.

“La ingeniería social es sencilla: son solo algunos correos electrónicos de phishing. Lo hacemos durante el entrenamiento y vamos bien”.

Esta mentalidad no tiene nada que ver con el trabajo hacia la ciberresiliencia. Es negación. Es un estado de feliz ignorancia que genera un peligroso exceso de confianza. Y cuando se combina esa actitud con actores de amenazas cada vez más capaces y agentes autónomos de IA, no es solo una tormenta, es un huracán.

Pero también hay otro lado.

Afortunadamente, también vemos líderes de seguridad con una mentalidad mucho más responsable. Aquellos que entienden que la ciberresiliencia es un proceso y toman medidas activas para mejorar continuamente cada capa de ciberseguridad. No es tarea fácil, pero por lo que he visto, sus organizaciones tienden a tener una postura cibernética mucho mejor (al menos en los dominios que reviso).

Es alentador y gratificante impartir clases presenciales sobre defensa contra la ingeniería social en empresas que invierten en su perímetro humano. Sus líderes de seguridad toman las medidas necesarias para hablar con los empleados, ofrecerles capacitación presencial (y, por lo tanto, la oportunidad de hacer preguntas) y organizar iniciativas que les ayudan a comprender a fondo la importancia de la seguridad. A su vez, he visto a esos empleados demostrar esta comprensión al detectar y disuadir mejor los intentos de ingeniería social.

Creo en la eficacia de ser proactivo. Y cuando no lo eres, creo en el efecto dominó. En la defensa contra la ingeniería social, la situación se resume así: si una organización no está preparada adecuadamente para los ataques estándar de ingeniería social, no está preparada para la ingeniería social potenciada por IA. Si no fue lo suficientemente proactiva para prepararse para la ingeniería social potenciada por IA, la próxima ola golpeará con fuerza.

La ingeniería social no será más fácil de detectar. No podemos retroceder en el tiempo. Durante los próximos meses, los actores de amenazas seguirán trabajando para optimizar sus ataques y aprovechar la IA. Es probable que algunos grupos cibercriminales ya estén probando sistemas de IA agéntica. Aún queda tiempo para que este tipo de agentes se conviertan en la nueva norma en ingeniería social, pero aun así, es cuestión de tiempo.

Las organizaciones necesitan fortalecer sus defensas anticipándose a estos avances mediante el uso de herramientas de ciberseguridad impulsadas por IA, invirtiendo en programas de capacitación en seguridad de mejor calidad y fomentando una cultura de responsabilidad compartida en materia de ciberseguridad entre sus equipos.

Quienes comprendan este cambio y se preparen para él serán quienes se mantengan a flote. Quienes sigan confiando en suposiciones obsoletas y en el cumplimiento de requisitos se verán peligrosamente expuestos.

Ingeniería social

Inteligencia artificial

Inteligencia artificial agente

Ciberseguridad

Comparte en tus perfiles

Facebook
Twitter
LinkedIn

Artículos Relacionados:

No culpes a la lluvia

25 de agosto de 2025

Por Ambiente: situación y retos Pablo Kaplún H.. Agosto 25, 2025. El Nacional Por ONG Clima 21 En Venezuela, se estima que este año las lluvias y desbordamientos de ríos han afectado de 250.000 a 300.000 personas*. No podemos culpar a la lluvia, ni al cambio climático por estos desastres. En parte, esta situación forma parte de

Seguir leyendo »

Adam Smith a los 250 años

25 de agosto de 2025

Michael Spence. 18 de agosto de 2025. Project Syndicate Hace casi 250 años, Adam Smith identificó dos posibles limitaciones a la especialización económica: la «extensión del mercado» y los riesgos inevitables. Hoy en día, la restricción del riesgo se está demostrando más poderosa, y ha surgido otro desafío, aún más fundamental, al modelo de especialización

Seguir leyendo »