La superficie de ataque provocada por la IA es enorme y está fuera de control

Tom Leighton, CEO y cofundador de la estadounidense Akamai Technologies, lidera una de las referencias empresariales globales en algoritmos y ciberseguridad. Entre otros méritos, el también doctor y antiguo profesor del MIT en matemáticas aplicadas contribuyó a inventar la tecnología básica que permitió el desarrollo de las redes modernas de distribución de contenidos. Desde que asumió el cargo de CEO en 2013, Leighton ha transformado Akamai en una enseña mundial en ciberseguridad y servicios en la nube, con ingresos crecientes en dos años desde los 1.400 millones de dólares a casi 4.000 millones y ampliando su negocio de seguridad a más de 2.000 millones de dólares anuales. Leighton es titular de más de 50 patentes y ha recibido numerosos reconocimientos, entre ellos la inclusión en el National Inventors Hall of Fame.

¿Cuál es la estrategia de Akamai para combatir los ciberataques realizados a través de bots?

La estrategia de Akamai en ese ámbito consiste en detectar y mitigar la actividad maliciosa de estos en el edge de Internet antes de que puedan llegar a las aplicaciones de los clientes. El primer paso es determinar si el tráfico procede de un ser humano o de un bot. Una vez detectado un bot, Akamai determina su tipo, ya que no todos son dañinos. Por ejemplo, los bots de búsqueda mejoran la visibilidad en los motores de búsqueda y, por lo general, no se bloquean.

Los editores de prensa online que miran con recelo la fuga de sus contenidos destinados a entrenar y nutrir la IA generativa. ¿Cómo se puede combatir esta situación?

Sí. Recientemente han surgido bots de rastreo con IA, lo que ha creado nuevos retos para editores y operadores de sitios web. Las organizaciones desean tener una gran visibilidad en los motores de búsqueda generativos con IA, pero las editoriales se preocupan por mantener relaciones directas con sus usuarios, proteger su propiedad intelectual y garantizar una compensación justa por el uso de sus contenidos. Los editores responden de diferentes maneras: algunos bloquean todos los bots con la intención de forzar a los operadores o a los servicios de IA a negociar una compensación justa; otros bloquean todos los bots para evitar la extracción de datos no autorizada, y un tercer grupo permite los bots de confianza o con licencia, y bloquea el resto. Akamai admite flujos de trabajo que permiten a los sitios web ofrecer a los bots de IA autorizados contenido estructurado y preparado para la IA, junto con el contenido habitual del sitio. Gracias a las asociaciones con empresas como TollBit y Skyfire, los editores pueden monetizar el acceso a su contenido cuando este es consumido por agentes de IA con licencia.

¿Cómo desactivar los bots que amenazan la seguridad y las operaciones comerciales?

Es el caso, por ejemplo, de los credential-stuffing bots, que intentan acceder a cuentas, incluidas cuentas online confidenciales, mientras que los content scraping bots pueden perjudicar al comercio. Las aerolíneas, por ejemplo, se enfrentan a bots que reservan asientos o comprueban precios, lo que puede reducir sus ingresos. Las soluciones de Akamai ayudan a identificar y bloquear estos bots dañinos, al tiempo que permiten el tráfico legítimo, protegiendo así tanto el contenido como las operaciones comerciales.

El desafío consiste en identificar los bots buenos de los malos. ¿Es así?

En efecto. La creciente presencia de la IA y los bots automatizados ha hecho que la gestión de bots sea más compleja en general, pero el enfoque integral de Akamai, que distingue entre bots buenos y malos, respalda los flujos de trabajo de monetización y bloquea las actividades maliciosas. De este modo, Akamai ayuda a sus clientes a proteger sus aplicaciones, sus ingresos y sus relaciones con los usuarios.

¿Qué nuevos factores de riesgo prevé para 2026?

En mi opinión, el cambio más significativo es el auge de la inteligencia artificial (IA), que lamentablemente crea una nueva superficie de ataque y las empresas deben establecer normas sobre su uso. Sin embargo, hay mucha shadow AI, es decir, aplicaciones de IA que los departamentos de TI y los equipos de seguridad de la información no pueden ver. En Akamai, lo primero que hacemos es ayudar a las empresas a identificar todas sus aplicaciones de IA, especialmente las expuestas al mundo exterior. También les ayudamos a determinar si están filtrando datos accidentalmente. Por supuesto, los agentes de IA se comunican entre sí y recopilan datos para ser más inteligentes, por lo que pueden filtrar datos de forma involuntaria.

¿Qué otros espacios de riesgo aparecen en el horizonte de la IA?

El uso de la IA puede provocar la filtración accidental de datos confidenciales de la empresa. También existen preocupaciones en lo que se refiere a los agentes que tratan con los consumidores. Por ejemplo, es posible engañar a la IA para que lleve a cabo acciones maliciosas. Para hacer frente a estos retos, hemos desarrollado un producto especial llamado Akamai Firewall for AI, que supervisa la información entrante, solicitudes y consultas. Verifica la legitimidad de la información y evita que los atacantes introduzcan datos maliciosos en su modelo. Una vez que esto ocurre, es irreversible. A diferencia de lo que sucede con la entrada de datos tradicional, en la que se puede borrar la información incorrecta, los datos erróneos introducidos en el modelo no se pueden eliminar. Una vez que los datos erróneos están en el modelo, permanecen allí. Empezar de nuevo no es lo más conveniente. Además, los atacantes pueden engañar al agente de IA para que evada las medidas de seguridad. Por ejemplo, pueden convencerlo para que revele información comprometedora sobre la compañía, divulgue datos internos confidenciales o tome decisiones empresariales erróneas, como vender un coche por un euro. Se trata de un problema grave. Por ese motivo, supervisamos las comunicaciones entrantes y salientes para garantizar que el agente no actúe de forma perjudicial ni divulgue información confidencial. Creo que se trata de un nuevo reto, dada la rápida adopción de la IA. En este momento, está totalmente fuera de control y la superficie de ataque es enorme.

Los malhechores no desaprovechan la ocasión para tener la IA como aliada…

Eso es. Los atacantes han aprendido a utilizar la IA para entrenar a su malware y que este sea capaz de evadir las defensas del objetivo. Por eso las empresas están siendo atacadas con mucha más frecuencia. Con la IA, es imposible no dejarse engañar por los deep fakes que se pueden crear. Es un reto importante. Creo que este es el mayor cambio en el panorama de la seguridad. Por supuesto, las tensiones geopolíticas también son un factor. Los ciberataques aumentan en zonas de guerra o con fuertes tensiones políticas.

¿Qué perspectivas empresariales anticipa para 2026?

Estamos entusiasmados con nuestras perspectivas de crecimiento para el próximo año. La seguridad es una de nuestras áreas prioritarias. A medida que las ciberamenazas se vuelven más comunes, las empresas necesitan nuevas capacidades, como la seguridad de las API y los firewalls de IA, que sirvan como última línea de defensa. La microsegmentación también es esencial y contamos con soluciones líderes en el mercado en este ámbito. También nos entusiasma nuestro negocio en la nube, optimizado para la inferencia de IA. Estas soluciones nos permiten ofrecer soporte a las aplicaciones de inferencia de nuestros clientes de forma distribuida, acercándolas mucho más a los usuarios finales. Creo que hay muchas oportunidades de crecimiento y un gran interés entre nuestra base de clientes.

¿Han cuantificado el aumento de incidentes originados en Rusia durante el último año?

No hacemos un seguimiento directo de esto; más bien, podemos identificar el punto de origen de la actividad y detener los ataques desde ese punto. A menudo, esas entidades son meros espectadores inocentes: máquinas propiedad de personas que no son delincuentes. Sin embargo, estas máquinas han sido comprometidas y ahora se utilizan para llevar a cabo ciberataques. Se convierten en parte de un ejército de bots y eso es lo que detectamos. Nuestro equipo de inteligencia sobre amenazas es experto en comprender los distintos ejércitos de bots y quién está detrás de ellos. Sin embargo, no llegamos a ese nivel de detalle, como por ejemplo tomar el control del bot para ver qué sucede a continuación. No nos dedicamos a eso. Se trata más bien de una operación ofensiva y no participamos en ese tipo de actividades. Sabemos dónde se encuentran los bots y las máquinas que atacan, y nos protegemos contra ellos.

¿Qué peso tiene el mercado español dentro del conjunto del grupo?

No solemos publicar nuestros resultados financieros desglosados por zonas geográficas, pero España es, sin duda, un mercado muy importante para nosotros. Hemos aumentado significativamente el número de empleados y hemos crecido rápidamente en los últimos años. Como parte de nuestro enfoque holístico para el desarrollo del talento, nos centramos en potenciar las capacidades técnicas y otras habilidades de nuestros equipos mediante diversas actividades reconocidas por el sector y que se llevan a cabo en el puesto de trabajo. Además de dar soporte a los clientes, ahora también nos dedicamos al desarrollo aquí. Podría decirse que el mercado español está creciendo muy bien y estamos ampliando nuestras operaciones.

¿Cuál es tu opinión sobre la reforma normativa impulsada por la Comisión Europea —el Digital Omnibus— que flexibiliza los requisitos normativos y los periodos de adaptación para la IA? ¿Podría convertirse en una fuente de ciberriesgos?

El Digital Omnibus de la UE aporta claridad a una normativa compleja sin rebajar el nivel de seguridad. La IA está creando una superficie de ataque más amplia e impredecible, y este desafío no hace más que crecer. Al simplificar el cumplimiento normativo, las empresas pueden centrar sus recursos en protegerse de estos riesgos tan reales.

La vulnerabilidad de las infraestructuras críticas (energía, agua, defensa, comunicaciones) ha aumentado debido al entorno geoestratégico actual. Desde la perspectiva de Akamai, ¿qué recomendaciones haría a los gobiernos y autoridades nacionales?

Proteger las infraestructuras nacionales críticas es un reto importante, especialmente en el contexto de la guerra cibernética y de las amenazas estatales, que están en constante evolución. Esto crea grandes expectativas en cuanto al refuerzo de las defensas cibernéticas por parte de los gobiernos y los operadores. En Akamai, colaboramos estrechamente con socios de toda Europa para proporcionarles las herramientas necesarias que les permitan abordar áreas cruciales, como la gestión de riesgos de ciberseguridad. En primer lugar, ofrecemos a las organizaciones una visibilidad total de sus activos y flujos de datos, que es esencial para el cumplimiento normativo y la resiliencia. Después, les ayudamos a implementar controles robustos, incluida una autenticación y autorización sólidas, en todas sus aplicaciones críticas. En un panorama en el que los actores hostiles buscan constantemente formas de explotar las vulnerabilidades, es fundamental contar con este nivel de protección.