Durante años, la seguridad digital se ha centrado en blindar sistemas, redes e infraestructuras tecnológicas. Firewalls, cifrado, segmentación y monitorización han sido las piezas clave del discurso defensivo. Sin embargo, el foco del riesgo está cambiando de forma silenciosa pero profunda.
El próximo año, el principal vector de ataque no serán los sistemas, sino las personas.
La inteligencia artificial ha acelerado una evolución decisiva del delito: ya no es imprescindible vulnerar una red si se puede suplantar de forma creíble a quien tiene autoridad para decidir. La identidad se convierte así en el nuevo campo de batalla de la seguridad.
De la intrusión técnica a la suplantación humana
Los avances en inteligencia artificial generativa han desplazado el ataque desde la capa técnica hacia la capa humana. Hoy es posible:
• Clonar voces con apenas unos segundos de audio.
• Generar correos y mensajes prácticamente indistinguibles de los reales.
• Simular videollamadas con apariencia, gestos y sincronización creíbles.
• Replicar patrones de escritura, tono emocional y comportamiento comunicativo.
El resultado es un cambio de paradigma. El atacante ya no “entra” en el sistema mediante malware o exploits, sino que opera desde dentro, haciéndose pasar por una identidad legítima.
Imaginemos una videollamada de un CEO solicitando una transferencia urgente.
Un proveedor que comunica un cambio de cuenta bancaria aparentemente válido.
Un responsable que autoriza una decisión crítica bajo presión operativa.
En todos los casos, el punto débil no es la tecnología, sino la confianza en la identidad.
Intrusión técnica invisible
A diferencia de los ciberataques clásicos, estas intrusiones no siempre dejan rastro técnico evidente. No hay alertas de antivirus, ni logs sospechosos, ni accesos no autorizados.
La intrusión se produce en la toma de decisiones.
El sistema funciona correctamente, pero ejecuta una orden falsa.
Esto dificulta enormemente la detección temprana y la atribución del ataque, y desplaza el riesgo desde los departamentos técnicos hacia los equipos operativos, financieros y directivos.
El factor humano: donde la IA encuentra ventaja
Estos ataques no prosperan por fallos tecnológicos, sino porque explotan condiciones humanas muy concretas:
• Urgencia y presión temporal.
• Autoridad jerárquica.
• Sobrecarga de información.
• Contextos de estrés, crisis o multitarea.
• Exceso de confianza en los canales digitales.
La inteligencia artificial no sustituye al delincuente; lo amplifica.
Le permite ser más rápido, más convincente y más difícil de cuestionar, especialmente cuando las decisiones deben tomarse en segundos.
Un riesgo transversal, no solo corporativo
Aunque los grandes fraudes empresariales acaparan titulares, la suplantación de identidad afecta de forma transversal a:
• Administraciones públicas.
• Grandes empresas y pymes.
• Entidades financieras y aseguradoras.
• Profesionales independientes.
• Ciudadanos en su vida cotidiana.
El impacto va más allá del daño económico. Afecta a la confianza, a la reputación, a la gobernanza y a la credibilidad de las decisiones.
IA defensiva: necesaria, pero no suficiente
La paradoja es evidente.
La misma inteligencia artificial que facilita la suplantación será clave para detectar anomalías, patrones falsos y comportamientos atípicos.
Sin embargo, confiar únicamente en soluciones tecnológicas genera una peligrosa ilusión de seguridad. La defensa eficaz no será solo técnica, sino organizativa, cultural y humana.
El próximo año: la identidad como nuevo perímetro de seguridad
Todo apunta a que el próximo año consolidará un cambio estructural:
la identidad se convertirá en el nuevo perímetro de seguridad.
Las organizaciones que no adapten sus procesos, formación y protocolos seguirán siendo vulnerables, incluso contando con sistemas técnicamente avanzados.
Seis claves para reducir el riesgo de suplantación
1. Desconfiar de lo urgente
La urgencia es el escenario perfecto para el engaño.
2. Implantar doble verificación de identidad
Especialmente en pagos, cambios de cuenta o decisiones críticas.
3. Separar canal y confirmación
Si la orden llega por correo o mensajería, debe confirmarse por otro medio.
4. Formar a las personas, no solo a los sistemas
La concienciación es hoy una barrera de seguridad tan relevante como el software.
5. Normalizar la duda
Cuestionar una orden no es desconfianza, es cultura de seguridad.
6. Definir protocolos claros para contextos de presión
En crisis y emergencias, la improvisación multiplica el riesgo.
Conclusión
La suplantación de identidad impulsada por la inteligencia artificial no es un problema futuro, sino un riesgo estructural emergente.
Proteger la identidad es proteger la capacidad de decidir con criterio en entornos cada vez más complejos.
Porque cuando la identidad deja de ser fiable, la seguridad deja de ser solo técnica y pasa a ser profundamente humana.
