La IA convierte el ciberataque en un cierre empresarial en horas

La cifra ya no es un susto técnico: es una amenaza de continuidad. El coste medio global de una brecha alcanzó en 2024 los 4,88 millones de dólares, un 10% más en un solo año.
Y lo más grave no es el rescate, sino la interrupción: ventas paradas, logística ciega, proveedores desconectados.
En este contexto, la frase que Juan Antonio Muñoz Gallego repite en Negocios TV suena menos a metáfora que a diagnóstico: “Antes un ciberataque te tumbaba un sistema, ahora te tumba el negocio”.
La tecnología ha cambiado el objetivo del atacante. Y ha cambiado, también, el margen de reacción de la empresa.
Porque la IA ya no “ayuda”: persigue vulnerabilidades 24/7.

La brecha que ya no es técnica

Durante años, el relato corporativo fue cómodo: la ciberseguridad como un asunto del departamento de sistemas, una partida defensiva y, en el mejor de los casos, un seguro reputacional. Ese marco ha muerto. Lo que hoy se compromete no es un servidor, sino la capacidad de facturar, entregar y cobrar.

El salto se explica por una mezcla de dependencia digital y fragilidad operativa. La empresa moderna no funciona “con” tecnología: funciona “en” tecnología. ERPs, CRM, nube, cadenas de suministro, pasarelas de pago, identidades y accesos. Un fallo en un punto crítico desencadena un efecto dominó. Y cuando el atacante lo sabe, deja de buscar datos por vanidad: busca palancas por rentabilidad.

La consecuencia es clara: los consejos de administración han tenido que aceptar que el riesgo cibernético compite, en impacto, con la inflación o la financiación. La pregunta ya no es “¿nos han entrado?”, sino “¿cuánto tardamos en volver a operar si nos paran?”. Esa diferencia —aparentemente semántica— define quién sobrevive a la próxima campaña de ataques y quién se convierte en estadística.

IA ofensiva, defensa a contrarreloj

La automatización ha roto el equilibrio. Antes, encontrar un agujero exigía tiempo, equipos y paciencia. Ahora, la búsqueda es industrial: herramientas alimentadas por IA rastrean activos expuestos, prueban configuraciones, cruzan filtraciones y ensayan vectores a escala. La defensa, sin embargo, sigue atada a procesos humanos: priorizar parches, coordinar proveedores, validar cambios, evitar que un arreglo rompa producción.

En otras palabras: el atacante acelera; la empresa frena por miedo a tocar lo esencial. Y ese desfase es el nuevo campo de batalla. De ahí que Muñoz Gallego hable de “carrera armamentística”: no se trata solo de más ataques, sino de ataques más rápidos y más baratos de ejecutar.

El resultado se mide en ventanas de exposición cada vez más cortas. Cuando una vulnerabilidad se convierte en “explotable”, la compañía ya no dispone de semanas para reaccionar: dispone de horas. Y la IA no duerme. La defensa, por tanto, se ve obligada a automatizar también: detección, respuesta, segmentación, copias, restauración, contención. Quien no lo hace compite con una desventaja estructural.

El factor humano, la puerta siempre abierta

En esta guerra, el eslabón débil sigue teniendo nombre y apellidos. El “factor humano” no es un cliché: es la superficie de ataque más barata. Informes recientes siguen atribuyendo a errores, descuidos o ingeniería social una parte decisiva de las brechas: el elemento humano aparece en torno al 68% de los incidentes analizados en la investigación de Verizon.

Muñoz Gallego lo baja a tierra con una cifra más conservadora y útil para el comité de riesgos: hasta el 30% de las brechas en entornos corporativos se explica por comportamientos evitables —clics, contraseñas, accesos indebidos—, no por fallos “de película”. El matiz importa: incluso reduciendo el problema a un tercio, el impacto ya es inasumible.

La paradoja es devastadora. La empresa invierte en firewalls, EDRs y proveedores, pero abre la puerta con credenciales reutilizadas o con un correo convincente. Y la IA potencia la estafa: redacta, traduce, personaliza y escala. El fraude deja de ser artesanal y se convierte en producción en cadena. Por eso la formación ya no puede ser un curso anual: debe ser cultura operativa, con simulacros, controles y fricción inteligente.

240.000 millones y aun así insuficiente

El dinero se ha movido, pero no al ritmo del problema. Gartner prevé que el gasto mundial en seguridad alcance 213.000 millones de dólares en 2025 (desde 193.000 millones en 2024) y suba hasta 240.000 millones en 2026, un avance del 12,5%. La cifra impresiona y, sin embargo, “se quedará corta”, como alerta el propio sector: porque el gasto crece, pero también lo hace la superficie digital y la sofisticación ofensiva.

No es solo más inversión: es inversión distinta. Parte del presupuesto se va en cumplir regulación, en servicios gestionados y en “poner parches” a una arquitectura heredada. La defensa compra tiempo, pero no siempre compra resiliencia. De hecho, Gartner advierte de un fenómeno inquietante: el gasto “estable” seguirá, pero las compañías son más cautas al abrir nuevas partidas. “Established security spending will continue as normal, but some organizations are being more cautious with any new security spending…”

Ese freno presupuestario, en plena escalada, es el agujero estratégico. Porque el atacante no negocia con el CFO. Ataca donde duele y cuando sabe que el presupuesto está discutiéndose.

Regulación y seguros: el precio de llegar tarde

Europa ha endurecido el marco. La directiva NIS2 fijó el 17 de octubre de 2024 como fecha límite de transposición, ampliando sectores obligados y elevando exigencias de gestión del riesgo e incidentes. El mensaje institucional es inequívoco: la ciberseguridad deja de ser voluntaria para una parte creciente del tejido empresarial.

Esto abre un segundo frente: el jurídico y el asegurador. Cuando el incidente ocurre, ya no basta con “solucionarlo”: hay que reportarlo, documentarlo, justificar medidas, demostrar diligencia. Las pólizas, además, empiezan a exigir higiene mínima (copias aisladas, MFA, inventario de activos, segmentación). La empresa que llega tarde paga dos veces: en impacto operativo y en coste de cumplimiento posterior.

El contraste con otros riesgos resulta demoledor. Un incendio obliga a medidas preventivas visibles; un ciberincendio ha vivido años en la invisibilidad presupuestaria. NIS2 pretende cerrar esa brecha a golpe de obligación. Y lo hace justo cuando la IA acelera el ataque. La coincidencia no es casual: es una respuesta tardía a un mercado que ya está en guerra.

Los datos que nadie quiere ver

Cuando se pregunta por magnitud, el sector prefiere eufemismos. Pero los números son incómodos. Verizon analizó 30.458 incidentes y 10.626 brechas confirmadas en su último informe, con víctimas repartidas en decenas de países. En esa escala, el relato del “caso aislado” se derrumba.

El coste medio de 4,88 millones por brecha no es una media inocente: concentra semanas de parálisis, horas de equipos directivos, pérdidas de clientes y un daño reputacional difícil de cuantificar. Y hay un efecto secundario que pocas empresas presupuestan: el ataque como auditoría forzada. Tras el incidente, la organización se descubre a sí misma: activos que no sabía que tenía, permisos que nadie revisó, proveedores críticos sin control, copias que no restauran.

Muñoz Gallego lo resume con una idea operativa: la seguridad no es “blindaje”, es capacidad de volver a funcionar. Y esa capacidad se mide en horas, no en presentaciones. Quien no lo asuma seguirá defendiendo sistemas; el mercado, mientras, exigirá continuidad de negocio.

La pregunta relevante ya está encima de la mesa: ¿cómo se compite cuando el ataque es automático y la defensa sigue siendo burocrática? La respuesta no pasa por prometer invulnerabilidad, sino por recortar el tiempo de exposición y asegurar recuperación. Identificar activos críticos, automatizar parches donde se pueda, segmentar redes, limitar privilegios, ensayar restauraciones, vigilar a terceros y, sobre todo, reducir el margen del error humano.

El punto ciego es cultural. Muchas compañías siguen hablando de ciberseguridad como “IT”. Hasta que un lunes no facturan. Ahí se produce el cambio de idioma: del firewall al flujo de caja. En esa transición se juega la supervivencia.

La carrera armamentística digital no se gana con más miedo, sino con disciplina: presupuesto bien dirigido, responsabilidades claras y pruebas constantes. La IA ha convertido el ataque en rutina. La empresa que no convierta la defensa en rutina se quedará sin relato… y sin negocio.