José Luis Rojo es socio de ciberseguridad en la consultora EY. En esta entrevista habla de cómo la inteligencia artificial está cambiando las dinámicas de protección de las empresas, pero sobre todo se detiene a explicar cómo esa misma tecnología multiplica la capacidad de los atacantes y rebaja las barreras de entrada al ciberdelito. Lo que configura un panorama especialmente preocupante.
También adelanta Rojo cuáles van a ser los tipos de ciberataques que protagonizarán el año 2025 en España. Y apunta a que el ransomware y el phishing seguirán siendo motivo de preocupación para todos. Y valora la oportunidad de negocio para el sector en torno a la directiva NIS2, que todavía está pendiente de trasposición a la legislación nacional.
La irrupción de la inteligencia artificial generativa ha cambiado el escenario tecnológico los últimos años. ¿Cómo está afectando al mundo de la ciberseguridad?
Pues está afectando mucho. Hay un cambio de paradigma donde los ataques son mucho más asistidos, más sofisticados y más numerosos. La IA permite [a los ciberdelincuentes] ser más precisos y perfectos. Permite hacer muchos más ataques en menos tiempo y de manera mucho más uniforme. Por ejemplo, ahora el phishing es mucho más personalizado. Y ya no pasa que las fuentes, la ortografía o los nombres sean incorrectos. Además, estos sistemas cogen información de los usuarios y personalizan los correos con esos datos, y eso está impidiendo, mucho más que antes, que la gente lo pueda detectar.
“La IA permite [a los ciberdelincuentes] ser más precisos y perfectos. Ya no pasa que las fuentes, la ortografía o los nombres en un correo sean incorrectos”
Con inteligencia artificial también se está trabajando en el desarrollo y la distribución de los programas maliciosos, el malware. Todo lo que el atacante utiliza para contagiar una máquina se está desarrollando con IA. Además, está todo lo que tiene ver con los deepfake (contenido falso generado con ayuda de la IA), no solo de vídeo, sino también de audio. Así, los malos ya han logrado ataques increíbles de ingeniería social, como la simulación de un comité de dirección, por ejemplo. Hemos visto el caso de una persona que se incorporaba a una reunión de ese tipo por internet, y donde todos los demás asistentes eran ficticios, tanto a nivel de imagen como de voz. Toda esta corriente de deepfake va a ir a más.
Además, la inteligencia artificial está ayudando a los atacantes al procesado de grandes volúmenes de información. Cuando hacen un ataque se llevan un volumen de datos enorme. Antes, procesar toda esa información les llevaba mucho tiempo y casi nos les merecía la pena robarla, pero hoy con IA pueden hacer el procesado de forma más rápida, para dar con contraseñas o datos especialmente sensibles. Esto ya lo pueden hacer en tiempo récord.
En resumen, los delincuentes pueden con la IA industrializar más su actividad y hacer los ataques más precisos. Además, los ataques pueden ser ejecutados por profesionales que tienen menos conocimiento. Porque ya no se necesitan personas tan capacitadas.
Pero entiendo que con la IA no todo son malas noticias. ¿De qué forma está ayudando al sector de la ciberseguridad?
La capacidad deprocesar información de forma muy rápida, que tanto puede beneficiar a los atacantes, también puede servir a la hora de detectar mejor esos ataques, distinguiendo lo que potencialmente dañino de lo que no lo es. Los analistas de ciberseguridad también empiezan a estar asistidos por inteligencia artificial, lo que reduce sus tiempos.
¿Cuáles serán las grandes amenazas para las empresas y organismos públicos en este 2025? En los dos últimos años hemos visto la proliferación de brechas de datos en grandes empresas del Ibex35 o en entidades críticas como hospitales. Además, el ransomware también ha sido protagonista.
El ransomware va a seguir creciendo y va a seguir siendo la principal amenaza. De hecho, hemos visto un incremento de grupos maliciosos dedicados a lanzar este tipo de ataques. Sigue siendo una amenaza muy rentable y fácil de ejecutar. En 2024 hemos visto cosas curiosas, como que desmantelaban un grupo de ransomware que acaparaba el 40% de los ataques, y de ese grupo surgían muchos más. Al final, defenderse de un grupo es más fácil, pero hacerlo de siete distintos complica la defensa. Hay un ecosistema dinámico de atacantes que basan su actividad en el ransomware.
“La inteligencia artificial está ayudando a los atacantes al procesado de grandes volúmenes de información. Para dar con contraseñas o datos especialmente sensibles”
Pero también hemos visto últimamente ataques de ingeniería social derivados de la IA. En el último semestre hemos visto un crecimiento del 400% en el phishing. Y creemos que eso seguirá adelante. Ha habido mucho ataque relacionado con el fraude del CEO, o donde los atacantes se hacen pasar por un help desk, por ejemplo. Y también seguirán creciendo este año los ataques a la cadena de suministro de las empresas, a su parte industrial. Tanto de plantas como de dispositivos conectados. Y creemos que en 2025 también empezarán a producirse ataques a los modelos propios de la IA, cambiando su esquema de aprendizaje y de comportamiento, por ejemplo. Empezamos a ver casos puntuales.
¿Habla de modelos generales, como ChatGPT o Gemini, o de los modelos particulares alimentados por la propia información de las empresas?
Me refiero más a modelos particulares, pero que pueden estar basados en soluciones globales como ChatGPT. Para construir una IA corporativa tienes que tener un modelo de aprendizaje a partir de cierta información, y uno de los vectores de ataque de la inteligencia artificial es incidir precisamente a este proceso de aprendizaje. Así, podrán codificar el comportamiento de la IA de las compañías.
En enero se aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que dará lugar a la esperada transposición a la legislación nacional de la directiva NIS2, que se retrasa desde octubre pasado. ¿Cómo está en estos momentos NIS2 en España y qué oportunidad puede traer al sector de la ciberseguridad en este país?
Conviene aclarar que tenemos un anteproyecto de ley, que no quiere decir que sea la versión definitiva. Esperamos que la ley esté pronto. Eso significa que ahora mismo una compañía no puede ser multada por infringir NIS2. Hasta que no esté definitivamente transpuesta la normativa, no podrá ser. Tampoco están otorgadas las capacidades de las diferentes autoridades de control. Además, cuando se transponga NIS2 a la legislación nacional, empezará a correr un plazo razonable para que las compañías se pongan al día.
“La provisión de servicios gestionados y la externalización de la ciberseguridad van a ganar terreno. Muchas compañías no tienen otra manera de tener personal especializado y al día”
¿Para cuándo podría estar NIS2 definitivamente adaptada a la legislación española?
No me mojo. En teoría iba a estar en octubre, pero por cuestión de modificaciones o por otros asuntos podría demorarse a partir de ahora. De hecho, todos los retrasos que ha habido han tenido que ver más con la parte organizativa, de determinar quién se encargaba de cada tarea en ese marco de obligación.
Pero sí quiero dejar claro que, en cualquier caso, se trata de una buena oportunidad para todo el sector de la ciberseguridad. En primer lugar, por un tema de alcance. Muchísimas compañías de muchos sectores que son relevantes para la sociedad van a verse afectados por esta ley.
“El ransomware va a seguir creciendo y va a seguir siendo la principal amenaza en 2025. Sigue siendo una amenaza muy rentable y fácil de ejecutar”
Además, incorpora muchas medidas que hoy en día tienen todo el sentido, como la protección de la cadena de suministro y la gestión de proveedores, o la gestión de incidentes. Y, por último, presta atención a la propia organización de la ciberseguridad, exigiendo más responsabilidades al CISO y a la alta dirección.
¿A qué otra legislación deberíamos prestar atención este año en el ámbito de la protección de la información?
A nivel general y transversal, NIS2 va a ser la principal. Y luego hay regulaciones más verticales, como DORA, que ya está en vigor, para todo el sector financiero. Además, los vehículos conectados tienen su propia regulación de ciberseguridad. También los dispositivos médicos tienen que cumplir regulaciones específicas. Por no hablar de la ley dedicada a inteligencia artificial.
¿Cómo está en estos momentos el negocio de la ciberseguridad en España y cómo se presenta para lo que resta de año?
Los datos que tenemos es que el mercado avanzó a un ritmo entre el 8% y el 12% en 2024, dependiendo del dominio tecnológico. Y la previsión es que en 2025 va a seguir creciendo porque cada vez más compañías adquieren soluciones de ciberseguridad. Son compañías pequeñas o medianas que históricamente no habían invertido.
Aunque esperamos que, en dos o tres años, el crecimiento general de este mercado se modere. Toda vez que habrá menos compañías con necesidades. Por otro lado, cada vez más los fabricantes unifican varias funcionalidades en una sola herramienta, y eso permite a los clientes racionalizar la inversión.
“Cuando se transponga NIS2 a la legislación nacional, empezará a correr un plazo razonable para que las compañías se pongan al día”
Además, vemos que la provisión de servicios gestionados y la externalización de las funciones relativas a la ciberseguridad van a ganar terreno. Es un mundo tan dinámico, para muchas compañías no habrá otra manera de tener personal especializado y al día, y de contar con las mejores soluciones del mercado.
Una última cuestión. En los últimos tiempos hay una escasez de profesionales formados en todo el sector tecnológico, pero particularmente en el ámbito de la ciberseguridad. ¿Cómo está en estos momentos la situación y hasta qué punto esta escasez presiona al alza los salarios?
Se estima que en 2024 faltaban unos 40.000 profesionales de ciberseguridad en España. Esto es un reto y a la vez dinamiza mucho el mercado laboral y produce inflación de salarios. Además, en ocasiones los sueldos que se ofrecen son internacionales porque hay muchos hubs tecnológicos en las grandes ciudades españolas, con lo que sube aún más el nivel salarial medio. Y el teletrabajo también facilita el trabajo desde España para compañías de fuera, y con salarios de fuera.
“El mercado de la ciberseguridad avanzó en España a un ritmo entre el 8% y el 12% en 2024, dependiendo del dominio tecnológico. Y la previsión es que en 2025 va a seguir creciendo”
Por nuestra experiencia en EY, también es verdad que vemos que las nuevas generaciones se mueven por proyectos. Y no solo por retribuciones. Quieren proyectos con impacto en la sociedad. Atender un incidente en un hospital, por ejemplo, y devolver la normalidad allí es valorado por los jóvenes.