{"id":573,"date":"2026-04-16T10:58:59","date_gmt":"2026-04-16T10:58:59","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/16\/infracciones-fantasma-como-las-narrativas-mediadas-por-ia-se-han-convertido-en-un-nuevo-vector-de-amenazas\/"},"modified":"2026-04-16T10:58:59","modified_gmt":"2026-04-16T10:58:59","slug":"infracciones-fantasma-como-las-narrativas-mediadas-por-ia-se-han-convertido-en-un-nuevo-vector-de-amenazas","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/16\/infracciones-fantasma-como-las-narrativas-mediadas-por-ia-se-han-convertido-en-un-nuevo-vector-de-amenazas\/","title":{"rendered":"Infracciones fantasma: c\u00f3mo las narrativas mediadas por IA se han convertido en un nuevo vector de amenazas"},"content":{"rendered":"
\n

Una empresa se despierta con una noticia que afirma que ha sufrido una importante filtraci\u00f3n de datos. Los detalles son espec\u00edficos, t\u00e9cnicos y convincentes. Pero la infracci\u00f3n no se produjo. Ning\u00fan sistema se vio comprometido. No se tomaron datos. Un modelo de lenguaje gener\u00f3 la historia completa, completando detalles plausibles desde cero. Y antes de que la empresa pueda descubrir qu\u00e9 est\u00e1 pasando, un periodista de un medio de renombre retoma la historia y solicita comentarios. En cuesti\u00f3n de horas, la empresa est\u00e1 redactando declaraciones y movilizando a su equipo de comunicaciones para abordar un evento ficticio.<\/p>\n

Un segundo incidente comienza con algo real. A\u00f1os antes, una empresa hab\u00eda sufrido una aut\u00e9ntica infracci\u00f3n que recibi\u00f3 una amplia cobertura medi\u00e1tica. El incidente fue investigado, resuelto y cerrado. Luego, uno de los medios que inform\u00f3 originalmente sobre ello redise\u00f1\u00f3 su sitio web. Los art\u00edculos antiguos recibieron nuevas URL y marcas de tiempo actualizadas, y los motores de b\u00fasqueda los volvieron a indexar como contenido nuevo. Los agregadores de noticias impulsados \u200b\u200bpor inteligencia artificial captaron la se\u00f1al y la marcaron como una historia en desarrollo. La empresa se encontr\u00f3 atendiendo consultas sobre un incidente que se hab\u00eda resuelto a\u00f1os antes.<\/p>\n

[Ed. note: The authors are withholding full specifics about the incidents because full disclosure could cause harm, yet CyberScoop confirmed with the authors that the incidents did in fact take place].<\/em><\/p>\n

Un tercer incidente introduce otra dimensi\u00f3n. Una publicaci\u00f3n de ciberseguridad public\u00f3 una historia sobre un ataque de compromiso de correo electr\u00f3nico empresarial que le cost\u00f3 a una empresa del Reino Unido cerca de mil millones de libras. El art\u00edculo citado un conocido investigador de seguridad<\/a>pero en realidad no hab\u00eda hablado con la publicaci\u00f3n. AI gener\u00f3 las citas, se las asign\u00f3 con total confianza y la publicaci\u00f3n las public\u00f3 como si fueran un hecho.<\/p>\n

En conjunto, estos tres casos exponen una amenaza para la que la mayor\u00eda de las organizaciones a\u00fan no se han preparado. La IA ha desarrollado la capacidad de fabricar incidentes de seguridad convincentes a partir de la nada, con detalles t\u00e9cnicos, fuentes nombradas y credibilidad suficiente para desencadenar respuestas a crisis a gran escala. Cualquier organizaci\u00f3n que trate esto como un problema distante o te\u00f3rico corre el riesgo de aprender por las malas cu\u00e1n r\u00e1pido la ficci\u00f3n generada por IA puede convertirse en una emergencia del mundo real.<\/p>\n

La suposici\u00f3n que ya no se cumple<\/h4>\n

La respuesta a las crisis cibern\u00e9ticas siempre se ha basado en una premisa simple: sucede algo real y luego se responde. Esa premisa se est\u00e1 rompiendo. Los sistemas de inteligencia artificial ahora generan, amplifican y validan reclamos antes de que los equipos de seguridad confirmen algo. Una vez que una narrativa ingresa al ecosistema, se puede incorporar a fuentes de inteligencia sobre amenazas, plataformas de calificaci\u00f3n de riesgos y flujos de trabajo automatizados. La ficci\u00f3n se convierte en se\u00f1al.<\/p>\n

Para los equipos de seguridad, esto crea una nueva clase de falso positivo. No es una alerta ruidosa de una herramienta mal configurada, sino una narrativa externa completamente formada que parece cre\u00edble. Una infracci\u00f3n alucinada puede desencadenar investigaciones internas, escalada ejecutiva y acciones defensivas. El tiempo y los recursos se desv\u00edan hacia refutar algo que nunca sucedi\u00f3.<\/p>\n

Peor a\u00fan, puede influir en el comportamiento de un atacante real. Los actores de amenazas pueden utilizar como pretexto narrativas inventadas sobre violaciones. Los correos electr\u00f3nicos de phishing que hacen referencia a un \u00abincidente conocido\u00bb se vuelven m\u00e1s cre\u00edbles. La suplantaci\u00f3n de equipos de TI o de respuesta a incidentes se vuelve m\u00e1s efectiva. La narrativa se convierte en parte de la superficie de ataque.<\/p>\n

Qu\u00e9 significa esto para los equipos de seguridad<\/h4>\n

Los equipos de seguridad est\u00e1n acostumbrados a monitorear indicadores de compromiso. Ahora necesitan monitorear los indicadores de narrativa. Los canales de inteligencia de c\u00f3digo abierto est\u00e1n cada vez m\u00e1s automatizados. Si esos oleoductos ingieren informaci\u00f3n falsa, los sistemas posteriores actuar\u00e1n en consecuencia. Eso incluye el enriquecimiento de SIEM, la puntuaci\u00f3n de riesgos de terceros e incluso decisiones de contenci\u00f3n automatizadas en algunos entornos.<\/p>\n

La implicaci\u00f3n pr\u00e1ctica es que los equipos de seguridad necesitan visibilidad de c\u00f3mo se representa externamente su organizaci\u00f3n, no solo de lo que sucede internamente. Esta no es una inteligencia de amenazas tradicional, pero se comporta como tal. La detecci\u00f3n temprana cambia los resultados.<\/p>\n

Tambi\u00e9n es necesaria una mayor integraci\u00f3n con las comunicaciones. Cuando surge una narrativa falsa, la realidad t\u00e9cnica y la percepci\u00f3n externa divergen. Ambos deben gestionarse en paralelo.<\/p>\n

Qu\u00e9 significa esto para los equipos de comunicaciones<\/h4>\n

Para los equipos de comunicaciones, el cronograma se ha colapsado. Es posible que la primera se\u00f1al de una \u201cinfracci\u00f3n\u201d no provenga del SOC. Puede provenir de un periodista, un cliente o una alerta autom\u00e1tica.<\/p>\n

El silencio ya no es neutral. Si existe una narrativa, los sistemas de IA llenar\u00e1n los vac\u00edos con cualquier informaci\u00f3n disponible. Eso puede reforzar las imprecisiones con cada iteraci\u00f3n. Las respuestas deben dise\u00f1arse tanto para el consumo de las m\u00e1quinas como para las audiencias humanas. Lenguaje claro y declarativo. Hechos comprobables. Declaraciones estructuradas que se pueden analizar y reutilizar f\u00e1cilmente. El objetivo es establecer una presencia competitiva en la cadena de suministro de informaci\u00f3n.<\/p>\n

La preparaci\u00f3n se vuelve cr\u00edtica. Lenguaje preaprobado que se puede implementar r\u00e1pidamente. Coordinaci\u00f3n establecida con el departamento legal y de seguridad antes de que surja algo.<\/p>\n

Implicaciones compartidas<\/h4>\n

Tanto el equipo de seguridad como el de comunicaciones operan ahora en el mismo entorno, lo reconozcan o no. Una infracci\u00f3n alucinada puede desencadenar una verdadera perturbaci\u00f3n operativa. Es posible que se interrumpan las relaciones con los proveedores, que se corten las conexiones con sistemas de terceros, que los reguladores se interesen y que los mercados reaccionen. Nada de eso requiere un compromiso real. Y esto crea un circuito de retroalimentaci\u00f3n. Las narrativas externas impulsan las acciones internas. Las acciones internas, si son visibles, refuerzan las narrativas externas.<\/p>\n

Romper ese c\u00edrculo requiere velocidad, coordinaci\u00f3n y claridad.<\/p>\n

Auditor\u00edas de IA como mecanismo de control<\/h4>\n

Uno de los controles m\u00e1s eficaces en este nuevo entorno es la auditor\u00eda sistem\u00e1tica de la IA. Probar peri\u00f3dicamente c\u00f3mo los sistemas de IA describen su organizaci\u00f3n, su postura de seguridad y cualquier presunto incidente. Esto proporciona visibilidad de lo que las m\u00e1quinas \u00abcreen\u00bb antes de que esa creencia se difunda. Permite a las organizaciones identificar y corregir narrativas falsas de manera temprana, antes de que se propaguen a las herramientas, la toma de decisiones y el comportamiento de los atacantes. Tambi\u00e9n destaca d\u00f3nde debe existir informaci\u00f3n precisa. No en cualquier lugar en l\u00ednea, sino en fuentes que los sistemas de inteligencia artificial priorizan.<\/p>\n

El cambio de mentalidad<\/h4>\n

Esto marca un cambio de la respuesta al incidente a la respuesta narrativa. Los equipos de seguridad deben tratar cada alerta como potencialmente inventada. Los equipos de comunicaci\u00f3n deben prepararse para narrativas que se formen independientemente de lo que realmente sucedi\u00f3. Ambos deben operar con el entendimiento de que la percepci\u00f3n por s\u00ed sola puede desencadenar consecuencias reales. En este entorno, la capacidad de detectar y responder a narrativas falsas es tan importante como la capacidad de detectar y responder a violaciones reales. <\/p>\n

Mary Catherine Sullivan es directora senior de Ciencia de Datos para Digital & Insights, dentro del segmento de Comunicaciones Estrat\u00e9gicas de FTI. Es l\u00edder en comunicaciones y ciencia de datos y se especializa en pruebas de mensajes, investigaci\u00f3n de audiencias, an\u00e1lisis de comunicaciones digitales y evaluaci\u00f3n de riesgos reputacionales. Como parte del equipo de ciencia de datos de FTI Consulting, desarrolla inteligencia artificial, procesamiento de lenguaje natural, aprendizaje autom\u00e1tico y modelos estad\u00edsticos de \u00faltima generaci\u00f3n para analizar los ecosistemas de medios, el discurso de las partes interesadas y la respuesta de la audiencia, lo que respalda la toma de decisiones informada y defendible para los clientes que navegan en entornos reputacionales complejos.<\/em><\/p>\n

Brett Callow es asesor senior en Comunicaciones de Ciberseguridad y Privacidad de Datos en FTI Consulting. Con m\u00e1s de dos d\u00e9cadas de conocimiento de la legislaci\u00f3n y las pol\u00edticas de ciberseguridad y una amplia experiencia en comunicaciones de ciberseguridad, la experiencia de Brett es ampliamente reconocida dentro de la industria, por los responsables pol\u00edticos y los medios de comunicaci\u00f3n. Ha estado involucrado en algunos de los incidentes de ransomware m\u00e1s destacados y ha participado en paneles y debates relacionados con pol\u00edticas, incluso en la Oficina del Director de Inteligencia Nacional y el Instituto Aspen, y ha formado parte de la Junta Asesora del proyecto Ransomware Harms del Royal United Services Institute.<\/em><\/p>\n