La mayoría de los líderes de seguridad están luchando por defender los sistemas de inteligencia artificial con herramientas y habilidades que no son aptas para el desafío, según el Informe comparativo de pruebas adversas y de IA 2026 de Pentera.

El informe, basado en una encuesta de 300 CISO y altos líderes de seguridad de EE. UU., examina cómo las organizaciones están asegurando la infraestructura de IA y destaca brechas críticas relacionadas con la escasez de habilidades y la dependencia de controles de seguridad no diseñados para la era de la IA.

La adopción de la IA está superando la visibilidad de la seguridad

Los sistemas de IA rara vez se implementan de forma aislada. Están superpuestos e integrados en la tecnología corporativa existente, desde plataformas en la nube y sistemas de identidad hasta aplicaciones y canales de datos. Con la propiedad repartida entre equipos dispares, la supervisión centralizada eficaz ha colapsado.

Como resultado, el 67 por ciento de los CISO informaron una visibilidad limitada sobre cómo se utiliza la IA en su organización. Ninguno de los encuestados indicó que tiene visibilidad total; más bien, reconocen ser conscientes o aceptar alguna forma de uso de IA no gestionado o no autorizado.

Sin una visión clara de dónde operan los sistemas de IA o a qué recursos pueden acceder, los equipos de seguridad luchan por evaluar el riesgo de manera efectiva. Preguntas básicas, como en qué identidades se basan los sistemas de IA, a qué datos pueden acceder o cómo se comportan cuando fallan los controles, a menudo quedan sin respuesta.

Las habilidades, no el presupuesto, son la principal barrera

Aunque la seguridad de la IA es ahora un tema habitual en las salas de juntas y los debates ejecutivos, el estudio muestra que los mayores desafíos no son financieros.

Los CISO identificaron los siguientes como sus principales obstáculos para proteger la infraestructura de IA:

• Falta de experiencia interna (50 por ciento)
• Visibilidad limitada del uso de la IA (48 por ciento)
• Herramientas de seguridad insuficientes diseñadas específicamente para sistemas de inteligencia artificial (36 por ciento)

Sólo el 17 por ciento citó las restricciones presupuestarias como una preocupación principal. Esto sugiere que muchas organizaciones están dispuestas a invertir en seguridad de la IA, pero aún no cuentan con las habilidades especializadas necesarias para evaluar los riesgos relacionados con la IA en entornos reales.

Los sistemas de IA introducen comportamientos que los equipos de seguridad aún están aprendiendo a evaluar, incluida la toma de decisiones autónoma, rutas de acceso indirecto y la interacción privilegiada entre sistemas. Sin la experiencia adecuada y pruebas activas, resulta difícil evaluar si los controles existentes son efectivos según lo previsto.

Los controles heredados soportan la mayor parte de la carga

A falta de mejores prácticas, habilidades y herramientas específicas de IA, la mayoría de las empresas están ampliando los controles de seguridad existentes para cubrir la infraestructura de IA.

El estudio encontró que el 75 por ciento de los CISO dependen de controles de seguridad heredados, como herramientas de seguridad de terminales, aplicaciones, nube o API, para proteger los sistemas de inteligencia artificial. Sólo el 11 por ciento informó tener herramientas de seguridad diseñadas específicamente para proteger la infraestructura de IA.

Este enfoque refleja un patrón familiar observado durante cambios tecnológicos anteriores, donde las organizaciones inicialmente adaptan las defensas existentes antes de que surjan prácticas de seguridad más personalizadas. Si bien esto puede proporcionar una cobertura básica, es posible que los controles creados para los sistemas tradicionales no tengan en cuenta cómo la IA cambia los patrones de acceso y amplía las posibles rutas de ataque.

Un desafío familiar, ahora aplicado a la IA

En conjunto, los hallazgos muestran que los desafíos de seguridad de la IA surgen de brechas fundamentales más que de una falta de conciencia o intención.

A medida que la IA se convierte en una parte central de la infraestructura empresarial, el informe sugiere que las organizaciones deberán centrarse en desarrollar experiencia y mejorar la forma en que validan los controles de seguridad en entornos donde la IA ya está operando.

Para explorar los hallazgos completos, descargue el Informe comparativo de pruebas adversas y de IA 2026 para una discusión más profunda de los datos y conclusiones clave.

Nota: Este artículo fue escrito por Ryan Dory, director de asesores técnicos de Pentera.

Los cazadores de amenazas han llamado la atención sobre una nueva campaña en la que los malos actores se hacen pasar por soporte de TI falso para entregar el Estragos marco de comando y control (C2) como precursor de la exfiltración de datos o el ataque de ransomware.

Las intrusiones, identificado realizado por Huntress el mes pasado en cinco organizaciones asociadas, involucró a los actores de amenazas que usaban spam de correo electrónico como señuelo, seguido de una llamada telefónica desde un escritorio de TI que activa un canal de entrega de malware en capas.

«En una organización, el adversario pasó del acceso inicial a nueve puntos finales adicionales en el transcurso de once horas, implementando una combinación de funciones personalizadas. Demonio del caos cargas útiles y herramientas RMM legítimas para la persistencia, y la velocidad del movimiento lateral sugiere fuertemente que el objetivo final era la exfiltración de datos, el ransomware o ambos», dijeron los investigadores Michael Tigges, Anna Pham y Bryan Masters.

Vale la pena señalar que el modus operandi es consistente con el bombardeo de correo electrónico y los ataques de phishing de Microsoft Teams orquestados por actores de amenazas asociados con la operación de ransomware Black Basta en el pasado. Si bien el grupo de delitos cibernéticos parece haber guardado silencio luego de una filtración pública de sus registros de chat internos el año pasado, la presencia continua del manual del grupo sugiere dos escenarios posibles.

Una posibilidad es que los antiguos afiliados de Black Basta hayan pasado a otras operaciones de ransomware y las estén utilizando para montar nuevos ataques, o que dos actores de amenazas rivales hayan adoptado la misma estrategia para realizar ingeniería social y obtener acceso inicial.

La cadena de ataque comienza con una campaña de spam cuyo objetivo es saturar las bandejas de entrada del objetivo con correos electrónicos no deseados. En el siguiente paso, los actores de la amenaza, haciéndose pasar por soporte de TI, contactan a los destinatarios y los engañan para que les otorguen acceso remoto a sus máquinas, ya sea a través de una sesión de Quick Assist o instalando herramientas como AnyDesk para ayudar a solucionar el problema.

Con el acceso implementado, el adversario no pierde tiempo en iniciar el navegador web y navegar a una página de destino falsa alojada en Amazon Web Services (AWS) que se hace pasar por Microsoft e indica a la víctima que ingrese su dirección de correo electrónico para acceder al sistema de actualización de reglas antispam de Outlook y actualizar las reglas de spam.

Al hacer clic en un botón para «Actualizar configuración de reglas» en la página falsificada se activa la ejecución de un script que muestra una superposición que solicita al usuario que ingrese su contraseña.

«Este mecanismo tiene dos propósitos: permite que el actor de amenazas (TA) recopile credenciales que, cuando se combinan con la dirección de correo electrónico requerida, proporciona acceso al panel de control; al mismo tiempo, agrega una capa de autenticidad a la interacción, convenciendo al usuario de que el proceso es genuino», dijo Huntress.

El ataque también depende de la descarga del supuesto parche antispam, que, a su vez, conduce a la ejecución de un binario legítimo llamado «ADNotificationManager.exe» (o «DLPUserAgent.exe» y «Werfault.exe») para descargar una DLL maliciosa. La carga útil de DLL implementa la evasión de defensa y ejecuta la carga útil del código shell Havoc generando un hilo que contiene el agente Demon.

Al menos una de las DLL identificadas («vcruntime140_1.dll») incorpora trucos adicionales para eludir la detección por parte del software de seguridad mediante ofuscación del flujo de control, bucles de retardo basados ​​en tiempos y técnicas como Hell’s Gate y Puerta de Halo a gancho Funciones ntdll.dll y omita las soluciones de detección y respuesta de endpoints (EDR).

«Tras el despliegue exitoso del Havoc Demon en la cabeza de playa, los actores de la amenaza comenzaron a moverse lateralmente a través del entorno de la víctima», dijeron los investigadores. «Si bien la ingeniería social inicial y la entrega de malware demostraron algunas técnicas interesantes, la actividad práctica en el teclado que siguió fue comparativamente sencilla».

Esto incluye la creación de tareas programadas para iniciar la carga útil de Havoc Demon cada vez que se reinician los puntos finales infectados, proporcionando a los actores de amenazas un acceso remoto persistente. Dicho esto, se ha descubierto que el actor de amenazas implementa herramientas legítimas de administración y monitoreo remoto (RMM) como Level RMM y XEOX en algunos hosts comprometidos en lugar de Havoc, diversificando así sus mecanismos de persistencia.

Algunas conclusiones importantes de estos ataques son que los actores de amenazas están más que felices de hacerse pasar por personal de TI y llamar a números de teléfono personales si eso mejora la tasa de éxito, técnicas como la evasión de defensa que alguna vez se limitaron a ataques a grandes empresas o campañas patrocinadas por estados se están volviendo cada vez más comunes, y el malware básico se personaliza para eludir firmas basadas en patrones.

También es de destacar la velocidad a la que los ataques progresan rápida y agresivamente desde el compromiso inicial hasta el movimiento lateral, así como los numerosos métodos utilizados para mantener la persistencia.

«Lo que comienza como una llamada telefónica de ‘soporte de TI’ termina con un compromiso de red totalmente instrumentado: Havoc Demons modificados implementados en los puntos finales, herramientas RMM legítimas reutilizadas como persistencia de respaldo», concluyó Huntress. «Esta campaña es un estudio de caso sobre cómo los adversarios modernos superponen la sofisticación en cada etapa: ingeniería social para entrar por la puerta, descarga de DLL para permanecer invisible y persistencia diversificada para sobrevivir a la remediación».