entrevistas

José Luis Rojo (EY): “En 2025 veremos ciberataques a los modelos de IA particulares de las empresas, cambiando su esquema de aprendizaje”



Dirección copiada

José Luis Rojo, socio de ciberseguridad de EY en España, se detiene a explicar cómo la inteligencia artificial multiplica la capacidad de los atacantes. También habla de NIS2 y del momento actual del negocio de la ciberseguridad en este país

Publicado el 21 abr 2025



José Luis Rojo, socio de ciberseguridad de EY España
José Luis Rojo, socio de ciberseguridad de EY España

José Luis Rojo es socio de ciberseguridad en la consultora EY. En esta entrevista habla de cómo la inteligencia artificial está cambiando las dinámicas de protección de las empresas, pero sobre todo se detiene a explicar cómo esa misma tecnología multiplica la capacidad de los atacantes y rebaja las barreras de entrada al ciberdelito. Lo que configura un panorama especialmente preocupante.

También adelanta Rojo cuáles van a ser los tipos de ciberataques que protagonizarán el año 2025 en España. Y apunta a que el ransomware y el phishing seguirán siendo motivo de preocupación para todos. Y valora la oportunidad de negocio para el sector en torno a la directiva NIS2, que todavía está pendiente de trasposición a la legislación nacional.

Pues está afectando mucho. Hay un cambio de paradigma donde los ataques son mucho más asistidos, más sofisticados y más numerosos. La IA permite [a los ciberdelincuentes] ser más precisos y perfectos. Permite hacer muchos más ataques en menos tiempo y de manera mucho más uniforme. Por ejemplo, ahora el phishing es mucho más personalizado. Y ya no pasa que las fuentes, la ortografía o los nombres sean incorrectos. Además, estos sistemas cogen información de los usuarios y personalizan los correos con esos datos, y eso está impidiendo, mucho más que antes, que la gente lo pueda detectar.

Con inteligencia artificial también se está trabajando en el desarrollo y la distribución de los programas maliciosos, el malware. Todo lo que el atacante utiliza para contagiar una máquina se está desarrollando con IA. Además, está todo lo que tiene ver con los deepfake (contenido falso generado con ayuda de la IA), no solo de vídeo, sino también de audio. Así, los malos ya han logrado ataques increíbles de ingeniería social, como la simulación de un comité de dirección, por ejemplo. Hemos visto el caso de una persona que se incorporaba a una reunión de ese tipo por internet, y donde todos los demás asistentes eran ficticios, tanto a nivel de imagen como de voz. Toda esta corriente de deepfake va a ir a más.

Además, la inteligencia artificial está ayudando a los atacantes al procesado de grandes volúmenes de información. Cuando hacen un ataque se llevan un volumen de datos enorme. Antes, procesar toda esa información les llevaba mucho tiempo y casi nos les merecía la pena robarla, pero hoy con IA pueden hacer el procesado de forma más rápida, para dar con contraseñas o datos especialmente sensibles. Esto ya lo pueden hacer en tiempo récord.

En resumen, los delincuentes pueden con la IA industrializar más su actividad y hacer los ataques más precisos. Además, los ataques pueden ser ejecutados por profesionales que tienen menos conocimiento. Porque ya no se necesitan personas tan capacitadas.

La capacidad deprocesar información de forma muy rápida, que tanto puede beneficiar a los atacantes, también puede servir a la hora de detectar mejor esos ataques, distinguiendo lo que potencialmente dañino de lo que no lo es. Los analistas de ciberseguridad también empiezan a estar asistidos por inteligencia artificial, lo que reduce sus tiempos.

El ransomware va a seguir creciendo y va a seguir siendo la principal amenaza. De hecho, hemos visto un incremento de grupos maliciosos dedicados a lanzar este tipo de ataques. Sigue siendo una amenaza muy rentable y fácil de ejecutar. En 2024 hemos visto cosas curiosas, como que desmantelaban un grupo de ransomware que acaparaba el 40% de los ataques, y de ese grupo surgían muchos más. Al final, defenderse de un grupo es más fácil, pero hacerlo de siete distintos complica la defensa. Hay un ecosistema dinámico de atacantes que basan su actividad en el ransomware.

Pero también hemos visto últimamente ataques de ingeniería social derivados de la IA. En el último semestre hemos visto un crecimiento del 400% en el phishing. Y creemos que eso seguirá adelante. Ha habido mucho ataque relacionado con el fraude del CEO, o donde los atacantes se hacen pasar por un help desk, por ejemplo. Y también seguirán creciendo este año los ataques a la cadena de suministro de las empresas, a su parte industrial. Tanto de plantas como de dispositivos conectados. Y creemos que en 2025 también empezarán a producirse ataques a los modelos propios de la IA, cambiando su esquema de aprendizaje y de comportamiento, por ejemplo. Empezamos a ver casos puntuales.

Me refiero más a modelos particulares, pero que pueden estar basados en soluciones globales como ChatGPT. Para construir una IA corporativa tienes que tener un modelo de aprendizaje a partir de cierta información, y uno de los vectores de ataque de la inteligencia artificial es incidir precisamente a este proceso de aprendizaje. Así, podrán codificar el comportamiento de la IA de las compañías.

Conviene aclarar que tenemos un anteproyecto de ley, que no quiere decir que sea la versión definitiva. Esperamos que la ley esté pronto. Eso significa que ahora mismo una compañía no puede ser multada por infringir NIS2. Hasta que no esté definitivamente transpuesta la normativa, no podrá ser. Tampoco están otorgadas las capacidades de las diferentes autoridades de control. Además, cuando se transponga NIS2 a la legislación nacional, empezará a correr un plazo razonable para que las compañías se pongan al día.

No me mojo. En teoría iba a estar en octubre, pero por cuestión de modificaciones o por otros asuntos podría demorarse a partir de ahora. De hecho, todos los retrasos que ha habido han tenido que ver más con la parte organizativa, de determinar quién se encargaba de cada tarea en ese marco de obligación.

Pero sí quiero dejar claro que, en cualquier caso, se trata de una buena oportunidad para todo el sector de la ciberseguridad. En primer lugar, por un tema de alcance. Muchísimas compañías de muchos sectores que son relevantes para la sociedad van a verse afectados por esta ley.

Además, incorpora muchas medidas que hoy en día tienen todo el sentido, como la protección de la cadena de suministro y la gestión de proveedores, o la gestión de incidentes. Y, por último, presta atención a la propia organización de la ciberseguridad, exigiendo más responsabilidades al CISO y a la alta dirección.

A nivel general y transversal, NIS2 va a ser la principal. Y luego hay regulaciones más verticales, como DORA, que ya está en vigor, para todo el sector financiero. Además, los vehículos conectados tienen su propia regulación de ciberseguridad. También los dispositivos médicos tienen que cumplir regulaciones específicas. Por no hablar de la ley dedicada a inteligencia artificial.

Los datos que tenemos es que el mercado avanzó a un ritmo entre el 8% y el 12% en 2024, dependiendo del dominio tecnológico. Y la previsión es que en 2025 va a seguir creciendo porque cada vez más compañías adquieren soluciones de ciberseguridad. Son compañías pequeñas o medianas que históricamente no habían invertido.

Aunque esperamos que, en dos o tres años, el crecimiento general de este mercado se modere. Toda vez que habrá menos compañías con necesidades. Por otro lado, cada vez más los fabricantes unifican varias funcionalidades en una sola herramienta, y eso permite a los clientes racionalizar la inversión.

Además, vemos que la provisión de servicios gestionados y la externalización de las funciones relativas a la ciberseguridad van a ganar terreno. Es un mundo tan dinámico, para muchas compañías no habrá otra manera de tener personal especializado y al día, y de contar con las mejores soluciones del mercado.

Se estima que en 2024 faltaban unos 40.000 profesionales de ciberseguridad en España. Esto es un reto y a la vez dinamiza mucho el mercado laboral y produce inflación de salarios. Además, en ocasiones los sueldos que se ofrecen son internacionales porque hay muchos hubs tecnológicos en las grandes ciudades españolas, con lo que sube aún más el nivel salarial medio. Y el teletrabajo también facilita el trabajo desde España para compañías de fuera, y con salarios de fuera.

Por nuestra experiencia en EY, también es verdad que vemos que las nuevas generaciones se mueven por proyectos. Y no solo por retribuciones. Quieren proyectos con impacto en la sociedad. Atender un incidente en un hospital, por ejemplo, y devolver la normalidad allí es valorado por los jóvenes.

Artículos relacionados

Artículo 1 de 4