A medida que se aceleran las amenazas de phishing, la siguiente etapa de defensa requiere sistemas transparentes, toma de decisiones responsable e inteligencia artificial que se fortalezca continuamente mediante la verificación humana.
La inteligencia artificial (IA) está transformando rápidamente el panorama de la ciberseguridad y promete una velocidad inigualable a medida que las organizaciones enfrentan un aumento de amenazas sofisticadas. Los correos electrónicos de phishing que alguna vez estuvieron expuestos por errores torpes ahora llegan pulidos, personalizados y casi indistinguibles de las comunicaciones legítimas, elaborados por actores de amenazas en segundos utilizando herramientas generativas modernas. En un esfuerzo por mantener el ritmo, muchas organizaciones se apoyan en gran medida en la detección impulsada por IA, con la esperanza de que la automatización por sí sola pueda burlar a los atacantes.
Pero detrás de la promesa de eficiencia se esconde un conjunto creciente de riesgos. Los sistemas totalmente automatizados todavía luchan con los matices, el contexto y patrones de ataque completamente nuevos. Incluso las tecnologías de filtrado avanzadas a menudo pasan por alto amenazas de phishing sutiles o emergentes, como falsos negativos que nunca activan una alerta y se cuelan silenciosamente en las bandejas de entrada de los empleados. En algunos casos, los correos electrónicos maliciosos adicionales aparecen solo después de una revisión verificada por humanos, lo que revela brechas que la automatización por sí sola no pudo detectar.
Una preocupación más profunda es la opacidad de muchas defensas de la IA. Estos sistemas suelen actuar como motores de decisión sellados, bloqueando o liberando correos electrónicos sin ofrecer ninguna explicación. Esa falta de visibilidad crea desafíos reales: los equipos de seguridad no pueden evaluar la precisión, los funcionarios de cumplimiento no pueden auditar las decisiones y los líderes no pueden comprender completamente los riesgos que se aceptan en nombre de la organización. Las cosas se complican aún más por los enormes volúmenes de datos de comportamiento que algunos sistemas recopilan, desde patrones de comunicación hasta “gráficos sociales” relacionales, utilizados para determinar qué constituye una actividad “normal”. Sin transparencia, las organizaciones no pueden estar seguras de si sus datos se manejan de manera ética, segura o dentro de los límites regulatorios.
Estas limitaciones revelan por qué el juicio humano sigue siendo esencial. Los humanos aportan contexto, intuición y la capacidad de reconocer patrones en evolución mucho antes de que un modelo de IA haya sido reentrenado para detectarlos. Combinar la automatización con la supervisión humana fortalece la precisión, reduce los falsos positivos y permite a los equipos de seguridad centrarse en las amenazas que realmente importan. También refuerza una sólida cultura de presentación de informes, una capa de defensa a menudo subestimada pero crítica que brinda a las organizaciones visibilidad temprana de los ataques que violan los filtros automatizados.
Igual de importante es mantener el control sobre los datos confidenciales. Una vez que los correos electrónicos o los conocimientos sobre el comportamiento ingresan a plataformas de terceros, las organizaciones pueden perder visibilidad de cómo se almacena, utiliza o comparte esa información. Las opciones de implementación flexibles y los modelos de servicios transparentes garantizan que, incluso cuando se trata de IA, las empresas conserven la propiedad y la supervisión de su propia inteligencia.
El control de la IA debe operar en dos niveles. A nivel micro, las organizaciones necesitan una visibilidad clara de cómo los sistemas de automatización y de inteligencia artificial toman decisiones, garantizando que puedan rastrear y gobernar la lógica detrás de cada acción dentro de su pila de seguridad. Este tipo de transparencia es esencial no sólo para la confianza operativa sino también para demostrar un manejo responsable de los datos.
A nivel macro, la supervisión está siendo moldeada gradualmente por la evolución de las regulaciones globales y regionales que definen a qué sistemas pueden acceder, procesar o retener. A pesar de la limitada regulación específica de la IA, marcos como el GDPR y el NIS2 de la UE, y la postura regulatoria cada vez más estricta en toda Europa, establecen límites sobre cómo se pueden utilizar los datos personales y de comportamiento. Exigen responsabilidad explícita, consentimiento y auditabilidad de las tecnologías que tocan los datos. A medida que estas regulaciones evolucionan, sirven como barreras de seguridad y expectativas para las herramientas que adoptan las organizaciones y, a nivel de junta directiva, estas estipulaciones deben aplicarse a todas las soluciones de IA para garantizar que se adopten las mejores prácticas ahora. Esto no sólo facilitará mucho el cumplimiento y los ajustes futuros de las nuevas regulaciones, sino que también ayudará a prevenir o limitar futuros riesgos financieros y de reputación.
En conjunto, la adopción de estos micro y macro controles garantiza que la IA no funcione como una caja negra sin control, sino como un componente gobernado y transparente de una estrategia de seguridad más amplia y compatible.
En toda Europa y más allá, los marcos de protección de datos como GDPR, DORA e HIPAA refuerzan la necesidad de una IA responsable y transparente. Estas regulaciones no sólo rigen cómo las organizaciones recopilan y procesan datos personales; establecen expectativas claras sobre cómo se debe explicar, monitorear y cuestionar la toma de decisiones. A medida que las herramientas de seguridad basadas en IA incorporen patrones de comunicación, señales de comportamiento y datos internos sensibles, el cumplimiento se convertirá en algo más que una obligación legal; se convierte en una parte fundamental para mantener la confianza. Según estas regulaciones, las organizaciones deben garantizar que los sistemas automatizados puedan demostrar equidad, proporcionar explicaciones significativas para sus decisiones y brindar a las personas visibilidad sobre cómo se utiliza su información. En este entorno, implementar IA sin supervisión humana ni transparencia no sólo es arriesgado; es incompatible con los estándares regulatorios que dan forma a la ciberseguridad moderna.
El futuro de la defensa contra el phishing no consiste en elegir entre humanos y la IA. Se trata de construir un ecosistema donde cada uno fortalece al otro, donde la automatización proporciona velocidad, los humanos proporcionan claridad y la transparencia lo une todo. Al exigir apertura, preservar el control de los datos y mantener a los humanos firmemente informados, las organizaciones pueden crear programas de seguridad que no sólo sean más rápidos y adaptables, sino también confiables por diseño.
A medida que la IA continúe avanzando y remodelando el panorama de amenazas, sus capacidades sin duda se volverán más poderosas. Pero no importa qué tan rápido evolucionen estos sistemas, los humanos seguirán siendo indispensables, brindando el contexto, la supervisión y el juicio estratégico que anclan la innovación a la transparencia y la gobernanza responsable. Al final, la fuerza de nuestras defensas dependerá no sólo de la automatización, sino de la intencionalidad con la que la guiemos.
La IA seguirá evolucionando, pero los humanos nunca dejarán de ser necesarios en el proceso.
Más información
Producido con el apoyo de Cofense. Para obtener más información sobre sus servicios de inteligencia contra amenazas y respuesta a phishing de nivel empresarial, visite www.cofense.com.
LEER MÁS: ‘Adicción a la tecnología: la amenaza oculta a la ciberseguridad’. Desde los hábitos infantiles frente a las pantallas hasta la fatiga en el lugar de trabajo, la tecnología está desviando la atención de todos los aspectos de la vida moderna. El resultado es una fuerza laboral más vulnerable a errores, manipulación y ciberataques cada vez más sofisticados, advierte Steve Durbin del Information Security Forum (ISF).
¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.