Durante los últimos años, el ransomware ha dominado la conversación sobre riesgo cibernético. Sistemas cifrados, operaciones paralizadas y rescates en criptomonedas se consolidaron como el principal catalizador de la inversión en ciberseguridad y del crecimiento del ciberseguro.
Hoy el foco empieza a desplazarse. No porque el ransomware haya perdido relevancia, sino porque el ecosistema de amenazas está evolucionando rápidamente. En el centro de este cambio se encuentra la inteligencia artificial.
La IA no es solo una nueva herramienta para los atacantes. Actúa como un multiplicador de capacidades que altera el equilibrio tradicional entre ofensiva y defensiva, obligando tanto a las empresas como al mercado asegurador a replantear sus estrategias de mitigación y transferencia del riesgo.
Un nuevo arsenal para el cibercrimen
La irrupción de la IA generativa ha reducido de forma drástica las barreras de entrada al cibercrimen. Capacidades que antes requerían conocimientos técnicos avanzados están hoy al alcance de delincuentes comunes.
En segundos es posible generar campañas de phishing altamente personalizadas, crear deepfakes de voz o vídeo creíbles o automatizar ataques y la identificación de vulnerabilidades a gran escala. El resultado es un cambio estructural: el volumen y la sofisticación de los ataques ya no dependen directamente de la pericia del atacante.
La IA permite escalar ataques de forma casi industrial, favoreciendo modelos de
“pesca de arrastre”, donde el éxito no depende de un objetivo concreto sino del volumen. Este fenómeno ya se refleja en la siniestralidad, con aumentos tanto en frecuencia como en severidad, y con organizaciones que históricamente no eran objetivos prioritarios, como las pymes, afectadas de manera recurrente.
Dos amenazas, dos horizontes temporales
La IA está potenciando tanto la ingeniería social como el hacking tradicional. Aunque ambas forman parte del mismo proceso, operan en horizontes temporales distintos y con implicaciones claramente diferenciadas.
La amenaza inmediata es la ingeniería social potenciada por IA. Se han eliminado muchas señales clásicas de alerta: errores gramaticales, mensajes poco creíbles o acentos sospechosos. Hoy, campañas de spear phishing impecables, en idioma local y altamente personalizadas, se despliegan a gran escala con un coste marginal. La clonación de voz de directivos o el uso de deepfakes en procesos de verificación ya no son escenarios teóricos, sino el origen de siniestros reales con impacto creciente para el mercado asegurador.
La segunda amenaza es más silenciosa, pero estructuralmente más preocupante. En su estado actual, la IA actúa como copiloto del atacante humano, acelerando el reconocimiento, automatizando la detección de vulnerabilidades y reduciendo el tiempo entre identificación y ataque. Es un salto de eficiencia, no aún de naturaleza.
El punto de inflexión llegará con la evolución hacia modelos agénticos y autónomos, capaces de mapear redes, identificar vulnerabilidades y desarrollar exploits a una velocidad superior a la capacidad de respuesta humana. En ese escenario, los equipos de seguridad, por más preparados que estén, no pueden parchear al ritmo del ciclo de ataque. La ventana de exposición deja de ser un problema temporal y se convierte en una brecha permanente.
Nuevas exposiciones generadas por la IA
A este contexto, se suma el uso intensivo de IA dentro de las propias organizaciones. Su adopción en procesos críticos está generando nuevas categorías de riesgo cuya cobertura bajo pólizas tradicionales no siempre es evidente.
Destacan riesgos como el envenenamiento de modelos, donde la manipulación de datos de entrenamiento introduce sesgos o comportamientos maliciosos con impacto financiero y reputacional diferido; las técnicas de prompt injection, capaces de forzar la revelación de información sensible o eludir controles internos; y la creciente dependencia de un número muy reducido de proveedores de infraestructura y modelos fundacionales.
Esta concentración introduce un riesgo sistémico con potencial de pérdidas correlacionadas, especialmente relevante desde la óptica aseguradora.
Hacia un nuevo enfoque del riesgo cibernético
Lejos de sustituir al ransomware, la IA amplía el abanico de exposiciones y refuerza el carácter sistémico del riesgo cibernético. La amenaza ya no es solo externa ni puntual, sino que se integra en el núcleo del modelo operativo de las empresas.
Las organizaciones se enfrentan a un doble desafío: gestionar riesgos de corto plazo que ya se están materializando, especialmente en ingeniería social, y prepararse para un horizonte más largo, donde ataques cada vez más automatizados pondrán a prueba la capacidad defensiva tradicional. Probablemente, la respuesta estará en apoyarse en la propia IA como herramienta de defensa.
Para el mercado de seguros, este entorno exige repensar coberturas, límites, exclusiones y, sobre todo, el papel de los servicios de prevención y respuesta. Para las organizaciones, implica asumir que la adopción de IA no es solo una decisión tecnológica, sino una decisión estratégica de gestión del riesgo.
El futuro del ciberseguro, y de la resiliencia empresarial en general, no vendrá definido únicamente por el próximo gran ataque, sino por la capacidad de gobernar riesgos que evolucionan a ritmos distintos, pero que comparten un mismo origen: una dependencia creciente de sistemas digitales cada vez más potentes y menos previsibles.
