Alicante, puerto abierto, brisa suave y un auditorio lleno de profesionales que saben que la ciberseguridad ya no es solo cuestión de firewalls. En el ESET Security Day 2025, mi charla tiene un título que suena a advertencia: “Una nueva puerta para la filtración de datos: inteligencia artificial”. Porque esa puerta existe, y no es teórica: está en las empresas, en los procesos, en las decisiones que tomamos cada día.
1. Cuando la voz del jefe no es la voz del jefe
Empiezo con una historia que parece sacada de una serie, pero ocurrió de verdad. Un empleado recibe una llamada urgente: la voz es la del CEO, el tono es convincente, la instrucción clara: “Necesito que hagas una transferencia ahora mismo”. ¿Qué harías tú? La persona obedeció. Lo que no sabía es que esa voz era una clonación generada por IA. El dinero salió, la confianza se rompió.
¿Qué falló? La empresa no tenía protocolos de verificación fuera de banda. La IA no hackeó el sistema, hackeó la percepción.
Lección: doble verificación, formación y simulacros. Porque la urgencia es el mejor aliado del fraude.
2. IA en la sombra: cuando la comodidad manda
Otra escena: personal administrativo que necesita agilizar tareas. Nóminas, contratos, expedientes… ¿Por qué no usar esa herramienta online que promete hacerlo todo más rápido? La sube a la nube, genera el documento y sigue trabajando. Lo que no sabe es que acaba de entregar datos personales y secretos empresariales a un servicio externo sin control corporativo.
¿Qué implica? Riesgo de fuga masiva, incumplimiento normativo y pérdida de propiedad intelectual.
Lección: políticas claras, lista blanca de aplicaciones y monitorización activa. La comodidad no puede ser más fuerte que la seguridad.
3. El prompt que abre la caja fuerte
Tercera historia: un equipo usa IA para generar informes internos. Todo parece seguro hasta que alguien introduce un prompt diseñado para manipular el modelo. Resultado: el sistema revela credenciales y tokens que nunca debió mostrar.
¿Por qué ocurre? Porque la IA sigue instrucciones sin distinguir intención.
Lección: validación de entradas, filtros y auditorías periódicas. La seguridad por diseño no es opcional; es vital.
4. Conexiones invisibles: la intranet como puerta trasera
Cuarta escena: una plataforma educativa permite integrar aplicaciones externas. Un profesor conecta una herramienta de IA para mejorar la experiencia del alumnado. Lo que no ve es que esa integración abre acceso a perfiles y expedientes académicos.
Consecuencia: datos expuestos, incumplimiento contractual y pérdida de control.
Lección: auditar cada integración, homologar conectores y aplicar evaluaciones de impacto cuando proceda.
5. La videollamada que no era lo que parecía
Última historia: una reunión virtual con un directivo que pide cambios urgentes en una operación financiera. La imagen es perfecta, la voz también. Pero no es real. Es un deepfake.
Resultado: órdenes falsas, transferencia indebida, crisis reputacional.
Lección: protocolos de verificación fuera de la plataforma, reglas claras ante señales de urgencia y formación para detectar anomalías.
6. ¿Por qué contar estas historias?
Porque todas tienen algo en común: la IA no atacó sola. Fue la falta de control, la ausencia de políticas y la confianza ciega lo que abrió la puerta. La tecnología no es inocente, pero la improvisación es culpable.
Gobernanza sólida, formación continua, control tecnológico y prevención normativa son las claves para que la IA sea un aliado y no una amenaza. Y de eso hablaremos en Alicante, con ejemplos, demostraciones y una idea clara: cerrar la puerta antes de que alguien la cruce.
Nos vemos en el ESET Security Day 2025. Agenda completa:
https://ontinet.com/event/eset-security-day-2025-alicante-26/register
Pablo Fdez. Burgueño 