Blog

La IA que hackea mejor que tus profesionales (y por qué tu pyme es el objetivo fácil)

Joan Medina 5 min de lectura
La IA que hackea mejor que tus profesionales (y por qué tu pyme es el objetivo fácil)

Cuando hablamos de ciberseguridad en pymes, solemos pensar en contraseñas fuertes y antivirus. Mientras tanto, la IA acaba de duplicar su capacidad de ataque cibernético cada diez meses. Y aquí viene lo incómodo: Claude Opus 4.6 y GPT-5 ya resuelven tareas de hacking que a un profesional le llevan tres horas.

No es una película. Es matemática pura.

El número que cambia todo

El laboratorio de evaluación de IA (METR) acaba de publicar un estudio con diez profesionales de ciberseguridad como referencia. El resultado:

  • La IA resuelve el 50% de las tareas de seguridad ofensiva que a un experto le llevan tres horas.
  • La velocidad de mejora se acelera: pasó de duplicarse cada 9,8 meses (desde 2019) a cada 5,7 meses (desde 2024).
  • Sus evaluaciones subestiman la capacidad real actual, porque usan contexto de 2M de tokens.

Traducido al español: si una IA puede hacer en minutos lo que a un hacker profesional le lleva horas, tu empresa ya no está fuera del alcance de ataques sofisticados. La sofisticación ahora la proporciona la IA.

Por qué tu pyme es el objetivo fácil

Las grandes corporaciones tienen equipos de ciberseguridad. Tienen presupuesto para defensa. Tienen protocolos. Las pymes españolas, por lo general, tienen un administrador de sistemas que hereda el rol de IT y ciberseguridad cuando el anterior se marcha.

Para un atacante con una IA:

  • Una pyme sin segmentación de red es pan comido.
  • Un servidor con parches desactualizados es un fallo que la IA identifica en segundos.
  • Credenciales débiles o reutilizadas en múltiples servicios: es el primero que la IA intenta.
  • Una pyme sin auditoría de accesos es un territorio sin vigilancia.

No porque tu empresa sea especialmente atractiva. Sino porque es más fácil entrar que en cualquier otro sitio.

El riesgo que ya no es teórico

Hay un patrón que veo constantemente en mi trabajo con pymes:

«Implementamos un agente de IA que automatiza nuestros procesos. Ahora el sistema tiene acceso a datos de clientes, facturas, y correos electrónicos internos.»

¿Dónde está la vulnerabilidad? No necesariamente en el agente en sí, sino en cómo está construido el perímetro de seguridad a su alrededor.

Si un atacante entra en tu red y compromete la máquina donde corre el agente, accede a todo a lo que el agente accede. Si el agente tiene permisos amplios, el atacante también. Si nadie está auditando qué hace el agente (porque «confías» en que funciona correctamente), un atacante podría estar extrayendo datos silenciosamente durante meses.

Es el mismo riesgo que con cualquier sistema, pero amplificado: los agentes de IA toman decisiones autónomamente. Si están comprometidos, toman decisiones maliciosas de forma autónoma también.

Cómo saber si tu pyme es vulnerable

Hay preguntas que deberías poder responder. Si no puedes, tienes trabajo por hacer:

  1. ¿Cuál es el nivel de acceso que tiene cada sistema a datos sensibles? (¿Quién puede ver qué? ¿Quién debería poder ver eso?)
  2. ¿Hay auditoría de quién accede a qué y cuándo? (¿Registras intentos de acceso? ¿Accesos exitosos?)
  3. Si un atacante consigue una contraseña, ¿cuántos sistemas puede acceder con ella? (¿Reutilizas contraseñas? ¿Hay autenticación multifactor?)
  4. ¿Quién tiene acceso administrativo a qué? (¿Hay sobreprivilegios? ¿Todo el equipo tiene acceso root a todo?)
  5. ¿Tu proveedor de hosting o cloud te notifica de incidentes? ¿Tienes backups fuera de la jurisdicción donde está el ataque?

Si la mayoría de respuestas son «no sabemos» o «no lo hemos pensado», la vulnerabilidad no es un problema. Es una característica de tu arquitectura actual.

La defensa no es complicada. Solo requiere criterio

Aquí es donde muchos consultores de ciberseguridad pierden credibilidad: venden soluciones costosas cuando el 80% de los ataques se previenen con lo básico.

Segmentación de red: un agente no debería acceder a todos los datos de la empresa. Debería acceder solo a lo necesario para su tarea específica.

Auditoría de accesos: deberías saber quién (o qué) accede a qué. No «aproximadamente». Exactamente.

Autenticación multifactor: una contraseña débil no es suficiente. Si alguien la roba, tiene que tener un segundo factor.

Rotación de credenciales: las contraseñas y tokens no deberían ser inmortales. Expira, renueva, monitorea.

Copias de seguridad fuera de línea: si te roban todo, necesitas una copia que el atacante no pueda modificar.

Nada de esto es magia. Nada requiere un presupuesto de millones. Requiere decisiones deliberadas sobre qué proteger, de quién, y cómo.

La pregunta que deberías hacer primero

«¿Tengo una auditoría reciente de ciberseguridad?»

Si la respuesta es no, or si ha pasado más de un año, eso es prioridad uno. No porque vaya a pasar algo mañana (aunque podría). Sino porque sin una auditoría no sabes realmente cuál es tu exposición. Estás tomando decisiones sobre seguridad sin datos.

El diagnóstico antes que la solución. Siempre.

Una vez sabes dónde están los agujeros, los cierras con lo básico. Y si necesitas profundidad, entonces invierten en lo que realmente importa.

El cierre

La IA está duplicando su capacidad ofensiva cada cinco años de media. Tu pyme no se defiende más rápido. Eso no es una amenaza futura. Es la velocidad actual.

La buena noticia: la mayoría de pymes son vulnerables no porque el atacante sea genio, sino porque los defensores no han empezado aún.

Empieza ahora.

¿Cuándo fue la última vez que auditaste quién accede a qué en tu empresa? Si no lo recuerdas, esa es tu siguiente conversación.

Comentarios

Sé el primero en comentar este artículo.

Deja un comentario

Tu email no será publicado. Los comentarios pueden requerir aprobación.

Diagnóstico gratuito — Descubre cómo ahorrar +10h/semana con automatización e IA

Solicitar ahora