En un entorno digital donde las amenazas mutan a la par del código, la ciberseguridad ya no es una simple persecución, sino una guerra de algoritmos. David González, Security Researcher de ESET Latinoamérica, advierte que la región atraviesa una transformación radical impulsada por la inteligencia artificial (IA). “El atacante actual ya no busca solo la brecha; busca camuflarse usando las propias herramientas de la empresa”, explica, señalando el fin de la era del malware ruidoso.
Actualmente, los ataques se adaptan en tiempo real. Para González, el reto en Latinoamérica no es la escasez de software, sino la dificultad de conectar eventos aislados que delatan una intrusión silenciosa. La clave ahora es la Inteligencia Accionable: pasar del reporte estático a la predicción del adversario mediante el análisis de su comportamiento local.
En una entrevista exclusiva con FOLOU, González desglosa cómo la IA ha redefinido su profesión, por qué los ciber-criminales están ‘viviendo del terreno’ en las redes empresariales y cuál es la hoja de ruta para que las compañías dejen de ser reactivas y tomen el control de su propia seguridad.
TE PUEDE INTERESAR: Queremos que el dinero fluya sin fronteras en toda Latinoamérica: Simple
FOLOU: Estamos viendo una democratización de herramientas de ataque potenciadas por la inteligencia artificial. ¿Cómo ha cambiado esto el trabajo de un investigador de seguridad? ¿Estamos en una etapa donde solo una IA puede detener a otra IA?
David González: La IA ha cambiado el rol del investigador de forma radical. Antes, gran parte del trabajo era reactivo y artesanal: analizar muestras, buscar patrones y correlacionar eventos de manera manual. Hoy el adversario usa IA para automatizar reconocimientos y adaptar los payloads en tiempo real, lo que nos obliga a subir el nivel. El foco ahora está en entrenar, supervisar y validar datos defensivos; detectar la intención y no solo indicadores de compromiso aislados.
Respecto a si solo una IA detiene a otra, prácticamente sí. La velocidad y el volumen de los ataques actuales superan por mucho la capacidad humana. Sin embargo, la IA defensiva sin criterio humano es peligrosa. El modelo correcto es el ‘humano in-the-loop’: la IA detecta y responde en milisegundos, mientras los humanos definimos la estrategia, el contexto y los límites.
FOLOU: En las demostraciones actuales se ve que un ataque es una operación orquestada y no algo fortuito. ¿Cuál es la táctica que más utilizan los grupos criminales en 2026 para pasar desapercibidos en las redes de Latinoamérica?
David González: Lo que más vemos es el abuso de identidades legítimas combinado con técnicas de ‘Living off the Land’. En lugar de usar un malware ruidoso que active todas las alarmas, utilizan credenciales válidas —robadas o compradas— potenciadas por ingeniería social con IA. Utilizan herramientas nativas de los sistemas operativos como PowerShell, RDP o APIs cloud. Esto les permite permanecer meses dentro de una red, evadiendo los EDRs basados en firmas y activando el ransomware solo cuando el impacto es máximo. El ataque ya no es entrar y cifrar, sino entrar de manera silenciosa.
FOLOU: ¿Cuáles son esos indicadores de compromiso (IoC) que las empresas suelen ignorar y que son clave para detectar una intrusión antes del desastre?
David González: Muchas organizaciones aún buscan indicadores clásicos, pero hoy los más valiosos son los conductuales y contextuales. Los más ignorados son los accesos válidos desde horarios o zonas geográficas atípicas y la creación de tareas programadas sin un ticket de soporte que las respalde. También el uso anómalo de PowerShell o el acceso inusual a los backups; esto último es una señal clara de que se prepara un ransomware, ya que buscan eliminar respaldos para asegurar el pago. El problema es que las empresas no correlacionan estos eventos y esperan una ‘alerta roja’ que suele llegar demasiado tarde.
FOLOU: ¿Cómo debe una empresa en 2026 estructurar su estrategia de Threat Intelligence para dejar de ser reactiva?
David González: Debe evolucionar hacia una inteligencia alineada al negocio. En este 2026, destacaría cuatro puntos esenciales:
- Perfil del adversario: No trabajar de forma genérica. Entender quién te atacaría (¿es fraude, espionaje o ransomware?) y cómo operan.
- Integración directa: La inteligencia no puede quedarse en un PDF; debe alimentar directamente los modelos de detección y respuesta.
- Contexto local: Lo que funciona en EE.UU. no siempre aplica en América Latina. El idioma, la cultura y la regulación local influyen en cómo nos atacan.
- Predicción basada en patrones: Analizar campañas y tiempos del atacante para anticiparse. Para definir una buena estrategia, lo fundamental es, sobre todo, entender al enemigo.
Foto: Freepik.