Durante el año pasado hubo un aumento sin precedentes del escaneo automatizado de vulnerabilidades que hicieron los cibercriminales sobre sistemas para hackearlos (un 16,7% más). La inteligencia artificial se posicionó como una gran aliada del cibercrimen: los atacantes la usan para crear deepfakes, malware (virus) y bots de estafas. Y en la complejidad de todo este panorama, un viejo y querido conocido sigue siendo una de las principales puertas de entrada para un ataque: el email.
Estos son algunos de los datos que se desprenden del 2025 Global Threat Landscape Report, un reporte que publica todos los años el laboratorio de amenazas de la empresa de ciberseguridad Fortinet. De manera periódica, las empresas lanzan sus reportes con la información que recopilan de sus sistemas de defensas (telemetría de firewalls, EDR -antivirus-, controles de red).
Los escaneos automatizados son búsquedas masivas que hacen los ciberdelincuentes con programas para detectar equipos, teléfonos, cámaras, servidores o dispositivos conectados que tengan fallas o estén mal configurados. Es como si un delincuente probara cómo abrir miles de cerraduras por segundo hasta encontrar una puerta abierta. Este año, la empresa detectó 36 mil escaneos por segundo.
El problema de estos números es que, sin contexto, son difíciles de interpretar. ¿Es mucho o poco? ¿Qué nos dice esto sobre el panorama de amenazas y cuánto depende del sistema de detección utilizado en el análisis? Y, sobre todo: ¿qué riesgo implica para las entidades públicas, las empresas y el usuario de a pie?
El lanzamiento del último informe de Fortinet coincidió con la visita a la Argentina de Robert May, vicepresidente ejecutivo de Tecnología y Gestión de Producto de la compañía. Durante su estadía, habló con Clarín, para entender un poco mejor estas cifras y dónde estamos parados en la actualidad.
May tiene experiencia en el sector tech. Licenciado en Informática por la Universidad de Columbia Británica en Canadá, antes de incorporarse a Fortinet, ocupó puestos directivos de Ingeniería y Producto en Nortel Networks y la Agencia Espacial Canadiense (CSA).
Con más de 20 años en la empresa, el especialista dio algunas pistas para interpretar los datos de este reporte, además de hablar de América Latina y las principales amenazas que enfrentan los usuarios en la actualidad.
La IA, las contraseñas y el usuario final: un panorama difícil
—Se suele decir que los cibercriminales llevan la ventaja frente a quienes defienden sistemas. ¿Cómo ves hoy ese escenario, con la adopción masiva de la inteligencia artificial?
—Bueno, es algo que vemos todo el tiempo. Hace unos años pasó cuando se dio la migración a la nube: nosotros la usamos para defender sistemas, pero los atacantes también la usan como crime as a service [crimen como servicio] para lanzar ataques desde múltiples lugares. Hoy lo mismo ocurre con la IA. Nosotros la usamos para reducir el tiempo de detección y respuesta; incluso en nuestro propio SOC [Centro de Operaciones de Seguridad] vimos reducciones del 60% en ciertas tareas con IA. Pero los atacantes hacen lo mismo: usan estas herramientas para lanzar ataques más rápido. Hay una paridad tecnológica.
—En el informe mencionan las técnicas llamadas “vivir de la tierra” (living off the land). ¿Qué significa esto?
—Pasa mucho en infraestructuras críticas. Quizás es fácil entrar por la “primera puerta” de una organización, pero eso no da acceso a los secretos más importantes. Para un intruso, lo mejor es quedarse callado en una red: en lugar de hacer algo ruidoso que los delate, se quedan dentro, actúan con sigilo. No escanean toda la red de golpe, esperan momentos en que su comportamiento parezca normal. Así pueden estar meses o años sin causar daño, hasta encontrar algo valioso y actuar.
—Hoy todo gira en torno a la IA. ¿Cómo está impactando en ataques como el phishing?
—El email sigue siendo la puerta de entrada más fácil para un ciberataque y la IA contribuye al engaño. Antes, las diferencias de idioma permitían detectar un correo falso. Ahora, con IA, los mensajes parecen completamente legítimos, con información muy específica. El umbral para lanzar un ataque es cada vez más bajo.
—La contraseña sigue siendo un gran problema. ¿Qué opinás sobre eliminarlas?
—En nuestro propio SOC, muchas alertas que enviamos a clientes son simplemente para que activen autenticación multifactor o zero trust. Son herramientas que ya tienen, pero no encienden. Las contraseñas solas son inseguras. Hay soluciones como passkeys, MFA [segundo factor de autenticación]. Lo importante es añadir una capa extra de seguridad más allá de la contraseña.
—¿Las malas configuraciones siguen siendo un problema?
—Sí. A veces implementan controles en una parte de la red, pero no en otra. Son entornos complejos, con varios equipos de TI. Incluso cuando tienen las herramientas, no las configuran bien. Para esto hay visiones de la tecnología como zero trust [limitación de accesos a empleados que no necesitan privilegios mayores] y MFA vienen en nuestros productos. También usamos IA para alertar cuando algo está abierto o sin protección. Antes había que revisar la configuración manualmente, pero ese es otro costado de la IA que se puede usar para defender: con IA generativa, podemos advertir al administrador y sugerir o aplicar cambios.
El panorama de amenazas
—¿Cómo ves el panorama en América Latina?
—Si recuerdo bien el informe, alrededor del 25% de los ataques globales que observamos apuntan a América Latina. Varía por país según las industrias predominantes: petróleo y gas, servicios financieros, etcétera. Pero la región es un gran objetivo de los cibercriminales.
—¿Qué pasa con los sistemas industriales, que ahora está mucho más conectado?
—Antes eran sistemas aislados, pero en los últimos 5 a 10 años hubo una transformación digital que los conectó y dejó algunos problemas en el camino. Hubo inversiones, pero no todas las organizaciones avanzaron al mismo ritmo. Son entornos críticos: energía, agua, transporte. Un ataque ahí impacta en millones de personas. Además, son ambientes extremos que requieren hardware especial y software adaptado. Los objetivos son similares a otros ataques, pero los puntos de entrada son diferentes.
—El ransomware fue el gran tema de los últimos años, aunque se hable menos en medios de comunicación. ¿Dónde estamos hoy con el ransomware?
—Bueno, en realidad sigue siendo prevalente. La IA cambió cómo se generan y defienden los ataques, pero no el tipo. En sectores industriales, precisamente (OT, tecnología operacional) vemos casos donde no solo se busca robar datos, sino comprometer infraestructura crítica para pedir rescates.
Los riesgos de la IA
—¿Las empresas están adoptando IA sin medir los riesgos?
—Sí, hay presión competitiva: si tu competidor habla de IA, vos también tenés que hablar de IA. Así, despliegan modelos de lenguaje [LLM] en la nube, mal configurados o sin controles ni saber qué datos suben. Ahí es donde ofrecemos herramientas para asegurar esas implementaciones. También usamos IA para ciberseguridad, detección y para acelerar el trabajo de los SOC.
—Como usuarios, es difícil separar “señal de ruido” dentro del panorama de la IA. ¿Es un problema para la industria, también?
—Sí. Muchas de las keynotes [charlas en conferencias] hablan de IA sin mostrar cómo funciona, con una demo. Ves stands que el año pasado no tenían IA y este año la sumaron en el folleto. Hay mucho hype [entusiasmo desmedido]. La clave es mostrar cómo se implementa y qué valor aporta, no solo ponerlo en una presentación de PowerPoint. El riesgo es desplegar un producto mal, sin chequear su seguridad, y que se convierta en una puerta de ataque.
—¿Qué tendencias preocupan hoy?
—Bueno, lo más común es cuando los usuarios usan ChatGPT para subir datos sensibles. Hay miles de nuevos servicios SaaS con IA y empleados cargando información allí. Nosotros damos visibilidad al CISO [jefe de seguridad] y herramientas para bloquearlo. Y no sólo usuarios comunes: también operadores de red que suben datos internos a herramientas externas.
—¿Qué consejos darías hoy, en este terreno, a empresas y usuarios?
—Para empresas: tener visibilidad. Saber qué datos se comparten y qué se usa. Luego decidir qué permitir y qué no. Para usuarios: ser conscientes de qué datos suben y dónde. Así como nos pasamos repitiendo “no hagan clic en enlaces sospechosos, no compartan contraseñas o claves con nadie”, ahora tenemos que repetir un mantra: “No subamos información personal a un chatbot o un sitio público”. A fin de cuentas, no sabemos dónde pueden terminar esos datos.