Hace poco menos de dos décadas, un correo electrónico malicioso era un problema técnico; hoy es una crisis estratégica.
Según la empresa de ciberseguridad Proofpoint, el 75% de las organizaciones en la región EMEA ha sufrido al menos un ataque exitoso por correo electrónico en el último año. En ese contexto, la incorporación de inteligencia artificial se revela como una necesidad, pero también como una complejidad nueva para pymes que no siempre están preparadas.
Amenazas más sofisticadas y el papel de la IA
“Desde ataques de phishing al compromiso del correo electrónico empresarial (BEC), pasando por la suplantación de identidad de proveedores, la relación señal-ruido no hace más que empeorar”, advierte Kevin Leusing, jefe de tecnología de Proofpoint. Lo que antes se detectaba con filtros básicos ya no basta: reglas estáticas, firmas digitales o sandboxing se quedan cortas frente a ataques polimórficos y de ingeniería social altamente avanzados.
La IA ya no es solo parte del problema, sino también del remedio. Proofpoint informa que el 61% de los CISOs en EMEA ya utilizan capacidades basadas en IA para defender sus organizaciones contra errores humanos y amenazas avanzadas centradas en personas.
Sin embargo, como señala Leusing, esos sistemas tienen límites claros, y su eficacia depende de su aplicación responsable, transparente y ajustada al contexto local.
Riesgos reales para pymes: lo que se juega si no se actúa
Para las pequeñas y medianas empresas, la escala del ataque puede parecer menor, pero las consecuencias no lo son. Un ataque más sofisticado puede comprometer no solo datos, sino la reputación, la confianza de clientes y proveedores, o generar interrupciones costosas. Además, si sus sistemas de detección generan muchos falsos positivos, terminan ignorando alertas o saturando equipos. Sin visibilidad del remitente, historial o contexto de mensajes, las pymes quedan en desventaja.
El uso de IA para generar campañas personalizadas de phishing, suplantación o deepfake verbal o visual, añade otra capa de peligro: lo que parece legítimo puede venir cargado de intención maliciosa, y la velocidad de esos ataques supera con creces la capacidad de respuesta de muchas organizaciones sin cultura ni herramientas de ciberdefensa fuerte.
¿Qué hacer para protegerse? Precisión, transparencia y estrategia humana
Los expertos de Proofpoint coinciden en que las empresas deben dar pasos claros para blindarse ante estas amenazas crecientes:
- Adoptar soluciones que ofrezcan no solo detección, sino explicabilidad: saber por qué un correo es señalado como peligroso, no solo marcarlo como “sospechoso”.
- Mantener aprendizaje continuo: los modelos de IA defensiva deben actualizarse regularmente con nuevas campañas, feedback de usuarios y actualizaciones sobre tácticas atacantes.
- Adaptación lingüística y cultural: en EMEA se hablan muchos idiomas y hay variaciones culturales que los atacantes explotan. Un modelo entrenado solo para inglés puede fallar cuando llega el correo en otros idiomas o con modismos locales.
- Combinar lo automático con lo humano: la IA complementa, pero no sustituye. La supervisión humana, la formación y una política clara de respuesta ante incidentes son esenciales.
Tal como resume Proofpoint: “No creemos en la IA por la IA. Creemos en la protección de las personas mediante una IA más avanzada, transparente y centrada en el ser humano”.
Mirando al futuro: reglamentos, oportunidades y liderazgo proactivo
Europa no espera. La regulación del correo electrónico y la seguridad de la información bajo normativas como RGPD obliga a precisión en la gestión de datos, responsabilidad sobre los sistemas de IA y transparencia frente a los afectados. Las políticas nacionales están avanzando para adaptarse a estas exigencias.
Para las pymes, esto presenta un doble desafío: prepararse para cumplir con las nuevas reglas, pero también adoptar una cultura de ciberseguridad preventiva que las haga más fuertes, eficientes y confiables. Las organizaciones que lo logren no solo esquivarán crisis, sino que ganarán reputación y resiliencia.
Porque al final, la cuestión no es si una empresa será atacada, sino cuándo —y lo que hará cuando eso ocurra. Las decisiones que se tomen hoy definirán quiénes sobreviven mañana.
