Al conmemorar el 21° aniversario del mes de la concientización sobre ciberseguridad, las organizaciones deben evolucionar de defensas estáticas hacia estrategias adaptativas que mantengan a los atacantes fuera y a los usuarios seguros.
Las protecciones de identidad tradicionales nunca fueron diseñadas para la era de la IA, no pueden detener los ataques ultrarrápidos y altamente convincentes que la IA facilita. De hecho, casi el 60% de las empresas identifica las credenciales comprometidas como la principal causa de brechas de seguridad.
El phishing empresarial ha cambiado, hasta hace poco, la mayoría de los mensajes de phishing contenían errores como mala ortografía, tono sospechoso o formato extraño que los delataba. Hoy, los modelos de lenguaje avanzados pueden generar mensajes impecables, incluso imitando el estilo de un CEO.
El resultado: correos prácticamente idénticos a la comunicación empresarial legítima, donde las contraseñas fuertes ya no son suficientes: si un empleado es engañado para entregar sus credenciales, el atacante ya está dentro.
Algo similar ocurre con el credential stuffing. Bots potentes pueden iniciar millones de intentos de inicio de sesión por hora, rotar IPs, imitar escritura humana, superar captchas, explotar vulnerabilidades en APIs y adaptarse instantáneamente a cambios de reglas.
Por su parte, el “push bombing” de MFA provoca fatiga en los usuarios: las notificaciones constantes generan frustración, y la IA intensifica los ataques mediante scripts y mensajes falsos que apuntan a cuentas de alto valor.
La IA también da lugar a identidades sintéticas, creando personas completamente falsas, con fotos, voces e historiales online que parecen legítimos. Estas cuentas burlan los controles tradicionales, y lo más preocupante es que ni siquiera requieren contraseñas robadas.
El MFA adaptativo y basado en contexto se ha convertido en otra herramienta crítica. Este tipo de autenticación bloquea intentos sospechosos antes de generar notificaciones push, adapta los métodos frente a eventos de alto riesgo y detecta patrones de abuso para detener la fatiga de MFA.
Finalmente, las soluciones de verificación de identidad digital aseguran que los usuarios sean realmente quienes dicen ser. Controles biométricos, verificación avanzada de documentos, reconocimiento facial con detección de vivacidad y autenticación pasiva evitan que los ciberdelincuentes creen cuentas con deepfakes o credenciales robadas.
Por Sérgio Muniz vicepresidente de Ventas de Identidad y Gestión de Accesos de Thales para América Latina.
