La digitalización masiva ha convertido la ciberseguridad en un pilar fundamental, tanto para las organizaciones, como para los usuarios finales. Sin embargo, la seguridad no es solo cuestión de tecnología: el factor humano sigue siendo crítico. La combinación de personas y sistemas es la que realmente define el nivel de protección de cualquier entorno digital.
La irrupción de la Inteligencia Artificial generativa ha añadido una capa extra de complejidad al ecosistema digital: el fenómeno conocido como shadowgenAI (el uso no autorizado o no controlado de herramientas de IA generativa). Esta situación se perfila como una de las amenazas emergentes más relevantes para los próximos años.
Phising y Ramsomware as a service
Según el ‘Informe de Ciberamenazas 2025’ de Sopra Steria, los atacantes han sofisticado sus técnicas. El phishing, el ransomware y la explotación de vulnerabilidades siguen siendo los modos principales que tienen para actuar. Sin embargo, el phishing multicanal, los ataques adversary-in-the-middle (AiTM) y las plataformas de phishing-as-a-service (PhaaS) han facilitado al usuario no experto el acceso a ataques avanzados, permitiendo que actores con bajo nivel técnico ejecuten campañas complejas. Además, el auge de los infostealers y el ransomware-as-a-service (RaaS) han convertido la extorsión digital en un negocio escalable.
La novedad es que ahora los atacantes pueden aprovechar herramientas legítimas de IA para automatizar ataques, perfeccionar campañas de phishing o incluso infiltrarse en los sistemas empresariales a través de puntos de entrada no controlados.
ShadowgenAI: amenaza silenciosa y medidas de mitigación
El shadowgenAI consiste en el uso de herramientas de IA generativa (chatbots, asistentes de código, plataformas de generación de contenido, etc.) sin la validación ni el control del departamento de IT. Pero esta práctica, motivada por la búsqueda de eficiencia y la presión por innovar, puede provocar incumplimientos normativos, introducir vulnerabilidades en la cadena de suministro de software y exponer datos sensibles de las empresas.
Para mitigar estos riesgos, es imprescindible:
- Definir políticas claras sobre el uso de IA generativa, especificando qué herramientas están permitidas y bajo qué condiciones.
- Monitorizar y auditar el uso de servicios externos para detectar posibles casos de shadowgenAI.
- Formar y sensibilizar a los empleados sobre los riesgos de utilizar herramientas no autorizadas y la importancia de proteger la información corporativa.
- Considerar la colaboración con partners tecnológicos para implementar soluciones propias de IA, tanto para generación de contenido, como para consultas internas.
Cultura de seguridad y visión holística
La tecnología por sí sola no garantiza la protección. El factor humano sigue siendo el punto más vulnerable y, al mismo tiempo, el más crítico. Es imprescindible invertir en formación continua y concienciación para que los usuarios adopten buenas prácticas: contraseñas robustas, autenticación multifactor y gestión responsable de la información.
El fenómeno del shadowgenAI pone de manifiesto la necesidad de una cultura de seguridad transversal, donde la innovación tecnológica y la protección de datos estén alineadas con los objetivos corporativos. Este enfoque no se limita al entorno empresarial: aplica a cualquier ecosistema digital, desde la administración electrónica hasta el comercio electrónico.
En resumen, la ciberseguridad en los próximos años requerirá una estrategia integral y dinámica. Solo combinando tecnología, procesos sólidos y una cultura organizacional orientada a la protección podremos anticipar y mitigar amenazas emergentes. La resiliencia digital no es un estado, sino un proceso continuo: preparación y compromiso son claves para mantenernos un paso por delante de los atacantes.