El antiguo consejo de crear una contraseña compleja ha quedado obsoleto para resguardar información personal o empresarial. Actualmente, la inteligencia artificial y la automatización han convertido el robo de credenciales en un negocio mundial, donde incluso una clave de 16 caracteres no ofrece protección si es expuesta por un software espía o incluida accidentalmente en un chatbot de IA.
El surgimiento de la IA generativa, la expansión del cibercrimen como servicio y la mayor complejidad de los ataques han modificado por completo el panorama. Comprender los métodos actuales de los delincuentes informáticos resulta crucial para replantear la seguridad en línea y aplicar tácticas de defensa actualizadas.
La economía clandestina de las credenciales y la IA
Según Check Point, el mercado ilícito de contraseñas se ha trasladado desde los foros de la dark web hacia canales de mensajería instantánea como Telegram y bots automatizados. Este modelo facilita transacciones rápidas y anónimas, acelerando la obtención de ganancias con datos robados. El Índice de Precios de la Dark Web 2025/2026 indica que una cuenta de Facebook comprometida se vende por 45 dólares, mientras que accesos a cuentas bancarias verificadas pueden alcanzar más de 1.000 dólares. Hoy, cualquier atacante puede adquirir millones de credenciales mediante herramientas potenciadas por IA, incrementando el peligro tanto para individuos como para compañías.
La epidemia de contraseñas: el factor humano y la IA generativa
La debilidad principal radica en el comportamiento humano. El 94% de los usuarios repite contraseñas en múltiples sitios y menos del 3% cumple con los estándares mínimos de complejidad. Cuando ocurre una filtración de datos, los ataques de relleno de credenciales permiten acceder a decenas de servicios con una sola contraseña robada.
La situación se agrava con la popularidad de los chatbots de IA en el ámbito laboral. LayerX reporta que el 45% de los empleados utiliza IA generativa y el 77% ha copiado información sensible en estos chatbots, frecuentemente desde cuentas personales no supervisadas. Esto genera vacíos de seguridad considerables para las organizaciones, propiciando filtraciones de datos incluso sin mala intención.
Deepfakes, phishing 2.0 y suplantación con IA
La IA también ha transformado el phishing: los kits de phishing como servicio, basados en IA y disponibles por menos de 100 dólares mensuales, posibilitan ataques personalizados y sin errores ortográficos, lo que incrementa notablemente su efectividad. Las campañas de phishing generadas por IA logran tasas de clics del 54%, en comparación con el 12% del phishing tradicional. El avance de los deepfakes añade más peligro. Las suscripciones para clonar voces cuentan con precios bajos, y los delincuentes pueden montar videollamadas falsas con apariencia y sonido casi idénticos a los de ejecutivos reales. Un incidente reciente involucró a una compañía que perdió 25,6 millones de dólares debido a una videoconferencia deepfake con supuestos directivos. El lapso entre la filtración de una contraseña y un ataque de ransomware se ha acortado drásticamente. El 48% de los ataques de ransomware en 2025 utilizó credenciales VPN robadas como punto de entrada. No obstante, las filtraciones basadas en credenciales pueden demorar hasta 246 días en ser detectadas, dejando a las empresas expuestas durante meses.
Cómo protegerse en la era de la IA
En la actualidad, la protección efectiva implica eliminar las contraseñas convencionales y optar por autenticación sin contraseña y claves FIDO2. También resulta fundamental aplicar políticas de confianza cero, vigilancia constante de la dark web y controles en navegadores que emplean IA. Las organizaciones deben supervisar e impedir la introducción de datos confidenciales en chatbots no autorizados, además de entrenar a su personal para evitar engaños cada vez más complejos. La seguridad digital ya no descansa únicamente en una serie complicada de caracteres. El auge de la IA exige reconsiderar la protección de la información, dando prioridad a la verificación de comportamiento y la gestión activa de identidades. Ante un mercado negro que progresa más rápido que las defensas, la única alternativa es implementar estrategias dinámicas, supervisión permanente y tecnologías que vayan más allá de la simple contraseña.
Fuente: Infobae