Máquina VS máquina. El CNI potencia el uso de la 'IA buena' para neutralizar los ciberataques diseñados con Inteligencia Artificial

‘Skynet’ fue la primera Inteligencia Artificial que revolucionó el mundo de la ciencia ficción con el ‘Día del juicio final’ en el que Terminator y su ejército de robots casi aniquilan a la humanidad. Aquella ficción dibuja ahora un horizonte real en el que las máquinas lucharán entre sí, al menos, en el campo Ciber. En eso coinciden los máximos responsables de España en ciberseguridad y ciberdefensa reunidos en las XIX Jornadas STIC CCN-CERT.

La IA ya es una herramienta habitual entre los ciberdelincuentes. Un ejemplo, el grupo de hackers chino ‘GTG-1002’ protagonizó recientemente el primer ciberataque con IA a gran escala sin intervención humana. Esa acción no es el futuro, representa el presente. “Los ataques con Inteligencia Artificial se están replicando y lo vemos ya casi en cualquier ataque esponsorizado por Estados”, admite a la SER el subdirector general del Centro Criptológico Nacional (CCN) del CNI, Javier Candau, “estamos viendo que utilizan componentes de IA para un mejor conocimiento de las redes, para un mejor engaño del vector de entrada [para ejecutar sus ataques]”, añade.

Ampliar

Cerrar

La Inteligencia Artificial estuvo detrás, por ejemplo, del ciberataque que sufrió la DGT, a través de la Agencia Tributaria. Los hackers utilizaron la IA para saltarse el CAPTCHA, así lograron abrir la puerta de entrada para robar la información de 35 millones de usuarios. Los cibercriminales utilizan también la IA para diseñar los 'bot' encargados de negociar el pago del rescate de las víctimas de los ransomware. Cuando los hackers detectan que existen una cierta predisposición a acceder al rescate, ahí sí, entra en juego el humano para cerrar el trato final. Son solo algunos ejemplos, pero habrá cada vez más.

Los análisis de organizaciones especializadas en el campo de la cibercriminalidad sitúan que el uso de la IA por parte de los ciberdelincuentes se ha disparado un 600%, según un informe de la consultoría española NTT Data. El efecto que provoca es inmediato. Detrás del 80% de los ciberataques de ransomware en el último año hubo Inteligencia Artificial, según una investigación de MIT Sloan y Safe Security.

“Con la Inteligencia Artificial los ciberdeliencuentes consiguen dar menos palos de ciego, cometen menos errores, eso para los defensores como somos nosotros es malísimo porque si al desplegarse por la red no cometen errores su umbral de detección es muy bajo”, detalla Candau. O dicho de forma, existe el riesgo de que escapen de su radar de detección porque “la IA les permite acceder muy rápidamente a la información de interés e identificar qué ficheros tienen que llevarse”, eso implica que los tiempos de respuesta de quienes defienden las infraestructuras críticas se han acortado muchísimo, “si antes el tiempo de respuesta para un caso de ransomware era de 15 días, ahora son 24 horas”, incluso peor en el caso de las Amenazas Persistentes Avanzada (APT en sus siglas en inglés) que atacan de forma sigilosa, “hemos pasado de tener un margen de cinco o siete días, a tener solo 12 horas”.

La IA ayuda a rastrear ciberataques asociados entre sí

Para neutralizar esa amenaza, el CCN del Centro Nacional de Inteligencia está potenciando el uso de la IA buena para repeler los ciberataques diseñados con Inteligencia Artificial.

El CCN cuenta, por ejemplo, con un chatbot para hacer un seguimiento de los casos de ciberataques que han gestionado, esa información les permite preguntar y analizar los casos asociados a cada uno de los incidentes críticos. Los responsables de ciberinteligencia del CCN también recurren a la IA para analizar las trazas de los ciberataques y para desarrollar herramientas que les permita automatizar soluciones frente a las acciones hostiles contra infraestructuras críticas del estado o instituciones.

“Ellos [los ciberdelincuentes] van a usar Inteligencia Artificial para atacarnos y nosotros tenemos que utilizar masivamente IA para defendernos”, apunta el subdirector general del CCN. Para lograrlo “tenemos que enseñar a nuestra Inteligencia Artificial a pararla [la IA delictiva], de tal manera que tengan que tener a humanos continuamente innovando”.

Desde hace años, el CCN trabaja al más alto nivel para detectar, mitigar y neutralizar estas amenazas. El Centro Criptológico Nacional cuenta actualmente con el proyecto ‘Elsa’ encargado de analizar la superficie de ataque para conocer dónde pueden encontrar los actores hostiles cualquier vulnerabilidad en el sistema.

Igual que ocurre en el campo de la lucha contra el narcotráfico, los ciberdelincuentes siempre llevan cierta ventaja, no porque tengan mejores herramientas, sino porque a nivel legal el margen de acción de los organismos que se encargan de la ciberseguridad del estado es más limitado. "Es cierto que a veces vamos a rebufo", reconoce Javier Candau, pero añade un matiz importante, "cuando tú inviertes 10.000 en euros en ciberseguridad, ellos [los hackers] tienen que invertir 100.000 euros para saltarse nuestra defensa, esto quiere decir que lo que tenemos que hacer ahora con la IA y con estas inversiones que nos han llegado es ponerle el muro muy alto". Según Javier Candau con eso lograrán un doble objetivo, el primero, "que se vayan a otro país a atacar", y segundo, "que les resulte muy caro intentar penetrar en las redes y eso les lleve a dejar de existir" porque ya no les es rentable.

Defensa también impulsa su propio escudo digital con IA

A nivel militar, el Mando Conjunto del Ciberespacio cuenta también con un centro especializado en la investigación del uso de la Inteligencia Artificial para potenciar la ciberdefensa. En 2024 nació en el Centro de Referencia de Inteligencia Artificial (CRIA) que depende directamente del Estado Mayor de la Defensa (EMAD). Su director, Enrique Ávila, también analiza en la SER este nuevo paradigma: “Por primera vez tenemos una tecnología que podría ayudarnos a defendernos”.

“La IA igual que puede ser utilizada para atacar, puede ser utilizada para defender”, detalla. Y eso es lo que hacen en el CRIA. Trabajan en el campo del “encuadramiento” y el “adiestramiento” para ser “más eficientes en la ciberdefensa”. El objetivo es reducir los tiempos de respuesta porque actualmente son “completamente inadecuados para el mundo en el que vivimos”, admite.

Los expertos en ciberdefensa del Mando Conjunto del Ciberespacio trabajan para “automatizar la vigilancia para detectar amenazas hostiles”, esas herramientas son las que permiten que después puedan desplegar medidas de acción para repeler esas acciones hostiles.

“Necesitamos recursos, necesitamos tener un conocimiento tecnológico profundo de último nivel para saber aplicarlo en tiempo y forma”, apunta el director del CRIA.

IA VS IA

El futuro suena a ciencia ficción, pero es muy real. "En el futuro veremos escenarios donde estén inteligencias artificiales enfrentadas entre sí, disputándose un campo de batalla, al menos a nivel ciber", como advierte Enrique Ávila, "serán las únicas capaces de utilizar los mecanismos de temporalidad necesarios para poder tomar medidas y contramedidas". De ese escenario no desaparecerá la mano del Hombre. "El ser humano tendrá un rol de decisión final sobre un tema muy importante, que es el que tenemos que prestar atención, contener la escalada", igual que ocurrió con David Lightman en la mítica película de Juegos de Guerra.

Las Fuerzas y Cuerpos de Seguridad del Estado también tienen la IA entre sus principales herramientas. "Pero eso tiene su riesgo", avisa el jefe del Grupo de Ciberinteligencia Criminal de la Guardia Civil, Alberto Redondo. Sabe de lo que habla. Además de llevar 12 años dedicado a la lucha contra la ciberdelincuencia, ha realizado una encuesta entre los principales investigadores de la Policía Judicial. El resultado, el 73% de los agentes de la UCO consultados habían usado la IA en sus investigaciones, y de ellos, más de la mitad, el 54% lo hacía de forma muy frecuente, casi a diario. "Eso tiene un riesgo, ese tipo de herramientas hay que controlarlas", apunta.

La amenaza es muy real. Los incidentes críticos en nuestro país por ciberespionaje y cibercrimen se disparan un 300%, según el propio CCN, que ha gestionado más de 200.000 incidentes de ciberseguridad en 2025. “Nunca antes habíamos gestionado tantos casos”, reconoce Candau.

La explicación de ese incremento es que “tenemos más capacidad de ver esos ciberataques”, reconoce el subdirector general del Centro Criptológico Nacional. “Es cierto que hay un incremento porque la IA les permitido intensificar los ataques paralelos, pero matiza que “también ha habido un incremento de nuestra capacidad de detección para poder atajarlos antes”.