Cuando algo se hace un 90% más rápido, ¿por qué no se consigue un 90% más de éxito?

Publicado en por juancornago

En las últimas semanas han aparecido investigaciones que describen campañas donde actores estatales y criminales automatizan la mayor parte de sus operaciones con inteligencia artificial, ejecutando reconocimiento, explotación y exfiltración casi en piloto automático. Anthropic ha explicado un caso con automatización del 80–90 por ciento de las tareas gracias a herramientas tipo agente, con la intervención humana reducida a unos pocos puntos de decisión. (The Hacker News)

A primera vista, uno podría esperar una explosión proporcional de incidentes. Sin embargo, el panorama agregado de 2025 no refleja un desbordamiento: informes de referencia muestran incrementos moderados o contención en brechas confirmadas y tiempos de detección, y una caída notable de pagos de ransomware en 2024. (ENISA)

La velocidad ofensiva ha aumentado gracias a la automatización con inteligencia artificial, pero el impacto neto no parece que crezca al mismo ritmo. ¿Por qué? Podríamos hablar de 3 posibles amortiguadores que podrían estar actuando a la vez:

  1. Cuellos de botella humanos y económicos en la monetización del delito.
  2. Defensas más automatizadas y segmentadas, que reducen el tiempo de detección y acotan el daño.
  3. Incentivos que desaniman el pago, con más cooperación policial y escepticismo ante las promesas de los atacantes, lo que ha llevado a un descenso del 35 por ciento de los pagos de ransomware en 2024 (personalmente no lo creo, pero todo es posible 😉 ) (Chainalysis)

En cualqauier caso, para situarnos conviene mirar el tablero completo:

  • Verizon analiza más de 22.000 incidentes y 12.195 brechas confirmadas en su edición 2025 del DBIR. Es una cifra alta, sí, pero no es un salto exponencial. (ENISA)
  • ENISA, en su Threat Landscape 2025, recoge 4.875 incidentes en Europa en el periodo más reciente, con especial peso del ransomware y del fraude por correo, pero sin picos incontrolados. (ENISA)
  • La permanencia media del atacante que reporta Mandiant en 2025 no se dispara; su análisis mantiene un rango similar al del año anterior, gracias a mejores capacidades de detección y respuesta. (cybernexum.com)
  • La primera mitad de 2025 en Estados Unidos registra 1.732 compromisos públicos según Identity Theft Resource Center, por encima de 2024 en el mismo periodo, pero sin desbordarse como cabría esperar con una automatización masiva del delito. (Carrier Management)
  • Y el dato clave de sostenimiento: los pagos de ransomware en 2024 bajaron en torno a un 35 por ciento, hasta unos 813 millones de dólares, tras un 2023 récord. Más víctimas decidieron no pagar y hubo más acciones policiales. (Chainalysis)

Efectívamente tendremos que esperar a los siguientes informes para saber si realmente explotan o no los incidentes.

Pero también es cierto que sí hay señales de un posible caso de salto cualitativo, donde Anthropic describe campañas en las que Claude Code ejecuta de manera autónoma la mayoría de pasos operativos, algo que acelera los ciclos de ataque y reduce la carga del operador. No es rumor, está documentado públicamente. (The Hacker News)

Hipótesis que explicarían esta paradoja

Para entender por qué más velocidad no está produciendo, al menos de momento, mucho más daño, conviene desgranar las causas con calma:

1. Los cuellos de botella no están en el código

La inteligencia artificial acelera redacciones de phishing, pruebas de explotación o búsquedas de superficie de ataque. Pero la selección de objetivos, la negociación y la monetización siguen teniendo fricción humana y logística. En campañas de espionaje, además, el objetivo es acceso selectivo, no volumen. (Axios)

2. La defensa también se ha automatizado

Plataformas de detección y respuesta con correlación asistida por modelos, segmentación de red y controles de identidad más finos acortan la ventana de daño. El sistema defensivo está absorbiendo mejor el golpe, aunque no lo elimine del todo. La estabilidad de métricas agregadas lo sugiere. (cybernexum.com)

3. La inteligencia artificial ofensiva aún escala de forma desigual

Hoy vemos casos avanzados de automatización casi total, pero su adopción no es masiva entre delincuentes comunes. Hay barreras técnicas y de acceso, y los proveedores bloquean cuentas maliciosas cuando detectan uso indebido. (euronews)

4. Los incentivos económicos del ransomware han cambiado

Con más investigación policial, sanciones y una menor confianza en que el pago garantice la destrucción de datos, menos víctimas pagan y los ingresos del crimen bajan. Ese amortiguador macro explica la caída de 2024. (CoinDesk)

5. Los cibedelincuentes también están utilizando la IA para reducir sus equipos

Cada vez resulta más evidente que los ciberdelincuentes están aplicando las mismas estrategias de eficiencia que las grandes empresas persiguen con la inteligencia artificial. Durante años, las organizaciones criminales en la red funcionaban como pequeñas fábricas: había quien escribía correos de phishing, quien diseñaba plantillas, quien traducía, quien desarrollaba malware o gestionaba los foros. Hoy, esa estructura empieza a sobrar. Los nuevos modelos de inteligencia artificial han permitido reducir la “plantilla” del crimen, automatizando procesos que antes requerían manos humanas.

Ya no hace falta un equipo de redactores para personalizar miles de mensajes fraudulentos: un modelo generativo puede crear millones de correos distintos, adaptados al idioma, tono y estilo de cada víctima. Tampoco es necesario un programador que reescriba el código malicioso para evadir antivirus: una inteligencia artificial entrenada en ejemplos de malware lo hace en segundos. Los deepfakes que antes requerían horas de edición ahora se generan con un clic, y los análisis de bases de datos robadas se automatizan con algoritmos que detectan patrones de valor sin intervención humana.

El resultado es un ecosistema delictivo más eficiente, barato y escalable. Los grupos de ransomware, que ya operaban como verdaderas compañías, se han vuelto más “esbeltos”. Sustituyen intermediarios por automatización, subcontratan funciones a terceros delictivos y utilizan inteligencia artificial para priorizar víctimas, calcular rescates o decidir cuándo negociar. En los foros clandestinos se empieza a hablar de lean cybercrime: estructuras ligeras, de alta productividad y bajo coste.

En el fondo, persiguen lo mismo que cualquier empresa: reducir costes fijos, acelerar procesos y maximizar el retorno. La diferencia es el propósito. Mientras las organizaciones legítimas intentan aplicar la inteligencia artificial con criterios éticos, transparencia y cumplimiento normativo, los ciberdelincuentes no tienen frenos regulatorios. No les preocupa el sesgo de los modelos, la privacidad de los datos ni la trazabilidad de las decisiones. Pueden iterar con total libertad, lanzar campañas masivas en minutos y sostener ataques 24×7 sin descanso ni riesgo personal.

Paradójicamente, la inteligencia artificial también podría estar provocando desempleo en el cibercrimen. Algunos perfiles clásicos, como los “redactores” de phishing o los falsificadores de documentos, han perdido valor. La nueva economía del delito favorece a quienes dominan la automatización, el prompt engineering o el entrenamiento de modelos ofensivos. El crimen organizado vive su propia revolución industrial, con menos manos y más máquinas.

Así, el panorama se vuelve más asimétrico. Las defensas corporativas siguen limitadas por la prudencia, la gobernanza y los marcos normativos, mientras los atacantes abrazan la inteligencia artificial sin límites. El cibercrimen está viviendo su versión del ahorro de costes, su propio ajuste de plantilla. Pero a diferencia de las empresas, que buscan eficiencia para crear valor, los delincuentes buscan eficiencia para amplificar el daño.

¿Qué significa para una dirección que quiere resultados?

Antes de comprar más alertas, ordena la casa para que la velocidad del adversario no se traduzca en impacto.

  • Reducir superficie de ataque: eliminar accesos y privilegios que no se usan, limitar herramientas administrativas a contextos justificados y con ventanas de tiempo.
  • Visibilidad centrada en comportamiento: líneas base por usuario y equipo para distinguir uso legítimo de abuso de utilidades del sistema.
  • Respuesta sin silencio: políticas claras de notificación y coordinación legal. Ocultar incidentes sale caro y erosiona la confianza. (Carrier Management)

Reflexión final

La superioridad ofensiva que aporta la inteligencia artificial al cibercrimen no garantiza una victoria automática, porque la ecuación del conflicto digital tiene más variables que el simple binomio “ataque rápido no es sinónimo de mayor daño”. Pensemos en algunos puntos importantes:

1. “Menos esfuerzo ofensivo con más daño”

La inteligencia artificial permite a los atacantes hacer más con menos esfuerzo: automatizan campañas, personalizan ataques a escala y reducen la necesidad de intervención humana. En apariencia, el resultado es obvio: si un ciberdelincuente necesita menos tiempo y recursos para causar más impacto, la balanza parece inclinarse de su lado.

2. “La capacidad de absorción del sistema”

Esa ecuación ignora un factor decisivo: la resiliencia del ecosistema defensor. Las empresas, los proveedores de servicios críticos y los propios reguladores han aprendido de crisis anteriores y han fortalecido su “capacidad de absorción”, es decir, su habilidad para resistir, detectar y recuperarse rápidamente de un impacto. Esa capacidad se traduce en 3 dimensiones:

  • Controles preventivos más duros (segmentación, autenticación, verificación de identidad, supervisión continua).
  • Detección y respuesta más veloces, gracias a la automatización, la inteligencia de amenazas y los centros de operaciones de seguridad (SOC) 24×7.
  • Coordinación interinstitucional mejorada entre CERT, agencias y operadores privados, que reduce la ventana de exposición.

En conjunto, el “sistema” no evita que el ataque ocurra, pero absorbe mejor el golpe y evita que se convierta en una catástrofe.

3. “El equilibrio no es estático”

En la ciberseguridad no hay dominio permanente. Cada avance de un lado provoca una adaptación del otro. Ahora mismo, el equilibrio se parece a:

  • Menos fricción táctica para el atacante: la inteligencia artificial le permite moverse más rápido, probar más rutas y operar con más anonimato.
  • Más contención estratégica para el defensor: los equipos de seguridad son capaces de detectar patrones antes, aislar daños y restablecer servicios con mayor agilidad.

No hay victoria definitiva, sino un estado de tensión dinámica, donde ambos lados aprenden y evolucionan.

4. “Competir en aprendizaje organizativo”

La ventaja no está en la velocidad pura, sino en la capacidad de aprender antes que el adversario. El atacante aprende de cada fallo técnico o respuesta defensiva; el defensor debe aprender de cada incidente, cada simulacro y cada comportamiento emergente. La organización que convierte la experiencia en conocimiento reutilizable (procedimientos, modelos, entrenamiento) es la que gana tiempo y resiliencia en la siguiente batalla.

En resumen, la inteligencia artificial ha reducido el esfuerzo del atacante, pero el verdadero campo de batalla está en la capacidad de adaptación. Los delincuentes corren más rápido, sí, pero las defensas aprenden más deprisa. Y en ese aprendizaje colectivo, no en la mera velocidad, se define el equilibrio real entre ataque y defensa.

Sin comentarios aún
Anthropic Claude Code automatización ofensiva DBIR 2025 detección y respuesta ENISA 2025 gobernanza Inteligencia Artificial ITRC 2025 pagos 2024 ransomware resiliencia segmentación

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.