La inteligencia artificial está cambiando las técnicas de ingeniería social más rápido de lo que evolucionan los programas tradicionales de concienciación en ciberseguridad. Con KnowBetter, Frame Security propone un enfoque adaptado a las nuevas amenazas y al riesgo específico de cada organización
Los equipos de seguridad llevan dos décadas formando a los empleados para identificar un conjunto bien conocido de señales de alerta: un enlace sospechoso, un dominio con errores ortográficos o una solicitud urgente de una transferencia bancaria. Sin embargo, este enfoque está chocando con un conjunto de herramientas para atacantes que ha evolucionado mucho más rápido que la mayoría de los programas de concienciación.
La inteligencia artificial generativa ha hecho posible clonar una voz a partir de unos pocos segundos de audio, generar un vídeo deepfake convincente en cuestión de minutos y redactar un correo de phishing adaptado al cargo de un empleado, a su responsable directo e incluso a su actividad reciente en LinkedIn. Las llamadas de vishing, los mensajes de smishing y la suplantación de identidad mediante vídeo forman ya parte habitual de las campañas de ingeniería social dirigidas contra las empresas, y han dejado de ser casos aislados.
"La mayoría de las organizaciones siguen formando a sus empleados para reconocer amenazas de hace cinco años", afirma Tal Shlomo, cofundador y director ejecutivo de Frame Security, plataforma especializada en la gestión del riesgo humano. "La plantilla del correo de phishing no ha cambiado, pero el atacante sí. Hoy basta un solo clic para generar un audio con IA que suene exactamente como el director financiero solicitando una transferencia bancaria, y ninguna presentación estática de formación prepara a una persona para eso".
Esta brecha se refleja en la forma en que siguen funcionando muchos programas de concienciación. Diversos estudios del sector han constatado de forma reiterada que una gran parte de las organizaciones continúa utilizando un reducido conjunto de plantillas genéricas de phishing, un único nivel de dificultad para todos los empleados independientemente de su función o nivel de riesgo, y ciclos de formación anuales o semestrales que evolucionan mucho más despacio que las amenazas a las que pretenden hacer frente.
Frame forma parte de una nueva generación de proveedores de ciberseguridad que considera que la formación en concienciación debe evolucionar al mismo ritmo que las amenazas. Su plataforma genera simulaciones de phishing, vishing y deepfakes utilizando el contexto específico de cada organización, en lugar de una biblioteca compartida de plantillas, y adapta el nivel de dificultad a cada empleado en función del riesgo demostrado. Además, vincula una puntuación de riesgo humano (Human Risk Score) a indicadores concretos, en lugar de basarse únicamente en la tasa de clics obtenida en simulaciones.
"Los consejos de administración y los responsables de seguridad (CISO) se hacen ahora una pregunta diferente", explica Shlomo. "Ya no se trata solo de cuántas personas hicieron clic en un correo fraudulento. Lo importante es saber si la organización entiende realmente cuál es su nivel de riesgo humano en cada uno de los canales que utilizan los atacantes y si ese riesgo está disminuyendo con el tiempo".
Este cambio se produce en un momento en el que los reguladores y las aseguradoras especializadas en riesgos cibernéticos también prestan mayor atención a cómo las empresas miden y reducen el riesgo humano, más allá de comprobar simplemente que se ha completado la formación anual. Este cambio de expectativas, más que cualquier producto concreto, probablemente impulsará a los equipos de seguridad empresarial a adoptar herramientas diseñadas para responder a la forma en que los empleados son atacados en la actualidad.
Esta evolución tiene implicaciones que van más allá de la reducción del riesgo. A medida que las empresas integran la inteligencia artificial en áreas como ventas, atención al cliente y operaciones internas, demostrar una gestión madura del riesgo humano se está convirtiendo en una ventaja competitiva, más que en un simple coste defensivo. Cada vez más compradores empresariales preguntan por ello durante los procesos de contratación, las aseguradoras lo incorporan al cálculo de las primas y los consejos de administración lo consideran parte de la preparación operativa para la adopción de la IA.
"Cuando hoy una empresa evalúa a un proveedor, la gestión del riesgo humano forma parte de la conversación, no es una cuestión secundaria", añade Shlomo. "Las compañías que pueden demostrar que tienen este aspecto bajo control superan con mayor rapidez los procesos de contratación y las revisiones de seguridad. En la era de la inteligencia artificial, esa rapidez constituye una ventaja competitiva, no solo un requisito de cumplimiento".
Frame Security ha defendido esta nueva visión con el lanzamiento de KnowBetter, una campaña que contrapone los programas tradicionales de concienciación en ciberseguridad con un enfoque personalizado mediante inteligencia artificial, diseñado para responder a la forma en que los empleados son realmente objeto de ataques en la actualidad. Según la compañía, es necesario ir mucho más allá de la formación tradicional en concienciación. La campaña está disponible en framesecurity/knowbetter.
