¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
segmentación

Me hicieron deepfake en 15 minutos. Así es como se ve la ingeniería social impulsada por IA.

Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
14de mayo de 2026
23 min. leer

Trabajo en ciberseguridad. Me dedico a hablar sobre ingeniería social, ataques asistidos por IA y amenazas basadas en la identidad. Conozco las estrategias de los atacantes.  

Así que cuando Rachel Tobac, tres veces campeona de la competición de ingeniería social DEFCON y directora ejecutiva de Social Proof Security, se ofreció a demostrarme un ataque en directo durante nuestro reciente seminario sitio web, supuse que sabía más o menos lo que iba a pasar.

Estaba muy equivocado.

En quince minutos, Rachel elaboró un expediente de ataque completo, un pretexto de spear-phishing tan personal que me hizo reír, una versión clonada de mi voz y un video deepfake de mi cara pidiéndole mi contraseña a un colega. Ella solo empleó herramientas de IA comerciales que extraían datos disponibles públicamente.

Ese es el panorama de amenazas en 2026. Esto significa que la pregunta que todo equipo de seguridad debería hacer ya no es cómo impedir que cualquier atacante acceda al sistema, sino cómo garantizar que, cuando alguien haga clic, el daño se mantenga contenido.

Quince minutos bastaron para crear un pretexto de ataque.

Rachel empezó por lo básico: encontrar mis datos de contacto.  

Empleando plataformas de intermediación de datos como Rocket Reach y ContactOut, obtuvo mis direcciones de email y números de teléfono en cuestión de segundos. Posteriormente, confirmó que estaban activos abusando de los procesos de restablecimiento de contraseñas en Facebook, eBay y Twitter.  

Esta era una metodología de ataque estándar que no requería pirateo informático. Esa parte por sí sola le llevó unos minutos.

A partir de ahí, introdujo esos datos de contacto en un repositorio de datos de filtraciones llamado Dehashed. Me encontró en ocho filtraciones de datos distintas y extrajo información sobre citas, incluyendo:

  • Tres números de teléfono
  • Tres direcciones físicas
  • Dos direcciones de email
  • Un nombre de usuario
  • Mi fecha de nacimiento
  • Una contraseña en texto plano  

Técnicamente, no fue culpa mía que esa información estuviera en el sitio web. Las filtraciones de datos ocurren incluso en organizaciones a las que les confiaba mi información. Pero al atacante no le importa de quién sea la culpa.

Luego venía el pretexto, que era el escenario que ella usaría para conseguir que yo hiciera clic, volviera a llamar o le entregara mis credenciales.  

Ella descubrió en mis redes sociales públicas que soy un ávido fanático del cricket y un oyente devoto de un podcast de comedia llamado The Grade Cricketer. Redactó un email suplantando la identidad de dos de los presentadores, Sam Perry e Ian Higgins, invitándome a participar en una breve entrevista con un oyente.  

El enlace de ese email fue malicioso.

Aquí viene la parte vergonzosa. De hecho, ya les envió un email a Sam e Ian pidiéndoles que hablaran sobre un tema en el programa. Soy un auténtico superfan.  

Cuando Rachel reveló el pretexto en pantalla, mi reacción sincera fue que pulsó el botón inmediatamente, no por descuido, sino por entusiasmo. Toda mi formación profesional en seguridad se esfumó en el momento en que pensé que mi podcast favorito finalmente respondió.

“La gente no se da cuenta de que en Internet hay pequeñas joyas que me permiten crear un pretexto creíble y gratificante”, dijo Rachel.

El podcast de cricket fue esa joya para mí.  

Rachel demostró que la ingeniería social eficaz tiene éxito al encontrar aquello que te hace humano, ya sea una pasión, una relación o un momento de emoción, y explotarlo con precisión.  

Cuanto más información compartas públicamente, más material le darás a un atacante.

Luego me hicieron deepfake.

A continuación, apareció el clon de voz.  

Rachel encontró un episodio de un podcast en el que participé hace cinco meses. Empleando aproximadamente un minuto de ese audio, clonó mi voz con una herramienta de inteligencia artificial.  

Era mi voz, pidiéndole a un colega que me leyera la contraseña porque mi gestor de contraseñas dejó de funcionar justo antes de una reunión de la junta directiva.

Luego lo superpuso sobre un video deepfake en tiempo real de mi cara. El paquete completo incluía lo que parecía una videollamada de Zoom, mi cara en la pantalla, mi voz al otro lado de la línea y un escenario plausible de alta presión.  

Leí la frase yo mismo para que el público pudiera comparar. La versión deepfake fue más fluida que mi interpretación real.  

Rachel suponía que alguien del trabajo, especialmente alguien que solo me ve ocasionalmente en reuniones, sería mucho más propenso a acceder a mis peticiones que alguien que me escucha todos los días y conoce mi entonación exacta.

Lo que más me llamó la atención fue la cronología. La clonación de voz tardó unos minutos. El deepfake se generó en tiempo real.  

Hace tres años, según nos contó Rachel, elaborar un expediente OSINT le llevó cerca de cien horas. Hoy en día, la IA lo reduce a veinte o treinta minutos.  

La misma compresión se produce a lo largo de toda la cadena de ataque. El flujo de trabajo del atacante se industrializó.

“La IA cambia la escalabilidad y la credibilidad del ataque”, afirmó. “Te permite ponerte la cara de otra persona, la voz de otra persona y convertirte en una persona diferente de forma mucho más creíble.”

El auge de la ingeniería social impulsada por IA

El momento del podcast de críquet fue embarazoso, pero también es una muestra de cómo la IA cambió fundamentalmente el conjunto de herramientas del atacante.

Hace tres años, según nos contó Rachel, elaborar el tipo de expediente que ella reunió sobre mí en quince minutos le llevó cerca de cien horas. Hoy en día, la IA comprime ese proceso en cada etapa de la cadena de ataque.

El flujo de trabajo del atacante se industrializó y el nivel de habilidad requerido disminuyó significativamente. Un atacante con recursos moderados ahora puede ejecutar el tipo de ataque dirigido y personalizado que antes requería conocimientos especializados.

Lo que hace que esto sea especialmente peligroso es que las tácticas no cambiaron, pero la IA mejoró significativamente la velocidad, la escala y la credibilidad.  

Según Rachel, la IA hizo que los ataques existentes sean prácticamente imposibles de detectar. Y ningún tipo de entrenamiento prepara a alguien para un ataque que se siente tan personalmente.

Cómo se ve realmente la cadena de ataque de principio a fin

Nuestro tercer panelista fue Andrew Lemon, director ejecutivo de Red Threat, quien completa el panorama del lado del atacante como hacker del equipo rojo.  

Una vez que Rachel accede a la red, la tarea de Andrew es demostrar hasta dónde pueden llegar los atacantes.

Los patrones que observa con mayor frecuencia incluyen:

  • Redes planas que permiten el movimiento lateralsin restricciones
  • Cuentas de servicio con privilegios excesivos que pueden ser suplantadas para acceder a las funciones de administrador de dominio.
  • Recursos compartidos de archivos sin protección repletos de datosconfidenciales.
  • Sistemas heredados ubicados completamente fuera del perímetro de monitoreo

En la nube, los desarrolladores implementan rápidamente herramientas de IA y productos mínimos viables, mientras que la seguridad se pone al día más tarde. La prueba de concepto se convierte en infraestructura de producción sin ningún tipo de control.

Como dijo Andrew: "No hay nada más permanente que un cambio temporal".

La segmentación es la decisión arquitectónica que, según Andrew, es la que más le frustra como hacker. Sus opciones se agotan rápidamente cuando los usuarios están confinados a sus propios segmentos de red, cuando el movimiento lateral está bloqueado por políticas internas y cuando los ataques de retransmisión no pueden traspasar los límites de las VLAN.  

Describió semanas pasadas dentro de segmentos aislados sin nada que atacar salvo conmutadores e impresoras. Ese es el resultado correcto para un ejercicio de equipo rojo.

Lo que aprendí sobre ciberseguridad al ser atacado

Tras ser víctima de esta cadena de ataques, incluso en un entorno controlado, esto es lo que cambió en mi forma de pensar.

Su superficie de ataque pública es mayor de lo que piensa, al igual que la de sus empleados. Todo lo que hay sobre ti en Internet es materia prima para que un hacker use su pretexto. Esto significa que debemos crear protocolos que no partan de la premisa de que los empleados reconocerán un ataque sofisticado y personalizado cuando se produzca.  

Lo más importante es invertir en lo que limita el alcance del impacto una vez que se roban las credenciales. La microsegmentación es el control más crítico en este caso. Cuando las cargas de trabajo solo pueden comunicar con los sistemas específicos a los que necesitan acceder, un atacante con credenciales robadas se topa con un muro casi de inmediato.

El objetivo es que el proceso que sigue el atacante, desde la obtención de las credenciales iniciales hasta las consecuencias significativas, sea tan largo y engorroso que la contención se active mucho antes de que se produzca el daño.  

Como ella misma lo expresó, cuando se encuentra con un entorno equipado con herramientas de contención de brechas como la microsegmentación, su reacción es que este enfrentamiento va a ser doloroso.  

Para un delincuente que no tiene la obligación contractual de seguir intentándolo, esa fricción suele ser suficiente.

Ver el seminario sitio web bajo demanda y Contáctenos hoy Para aprender cómo Illumio puede ayudarlo a crear microsegmentación.

Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
14de mayo de 2026
23 min. leer
microsegmentación
Contáctanos
Compartir

Artículos relacionados

La opinión de un ciberpsicólogo sobre la cultura de la culpa de la ciberseguridad
segmentación

La opinión de un ciberpsicólogo sobre la cultura de la culpa de la ciberseguridad

Descubra cómo el estrés, las amenazas de IA y el comportamiento humano hacen que Zero Trust sea esencial para la resiliencia cibernética.

Lee más
Resiliencia cibernética
Vuelva a los conceptos básicos de seguridad para preparar para los riesgos de IA
Resiliencia cibernética

Vuelva a los conceptos básicos de seguridad para preparar para los riesgos de IA

Obtenga las opiniones de dos expertos en ciberseguridad sobre cómo funciona la IA, dónde se encuentran sus vulnerabilidades y cómo los líderes de seguridad pueden combatir su impacto.

Lee más
Resiliencia cibernética
Qué significa el Proyecto Glasswing para quienes dirigen la ciberseguridad.
Resiliencia cibernética

Qué significa el Proyecto Glasswing para quienes dirigen la ciberseguridad.

Comprenda cómo el Proyecto Glasswing y el descubrimiento de vulnerabilidades impulsado por IA y potenciado por Mythos están transformando la ciberseguridad y por qué la contención de brechas mediante la segmentación es ahora fundamental.

Lee más
Resiliencia cibernética
Operacionalización de Zero Trust – Paso 1: Identificar qué proteger
segmentación

Operacionalización de Zero Trust – Paso 1: Identificar qué proteger

A medida que la tecnología se implementó a pequeña escala, las soluciones ad hoc fueron manejables y más productivas que tratar de buscar economías de escala o buscar soluciones estratégicas que pudieran ser relevantes en todos los ámbitos.

Lee más
No se encontraron artículos.
Unir a Illumio en la Cumbre de Seguridad y Gestión de Riesgos de Gartner EMEA 2025
segmentación

Unir a Illumio en la Cumbre de Seguridad y Gestión de Riesgos de Gartner EMEA 2025

Visite Illumio en el stand 415 para explorar CDR impulsado por IA, Zero Trust y microsegmentación en acción.

Lee más
No se encontraron artículos.
Principales noticias de ciberseguridad de abril de 2025
segmentación

Principales noticias de ciberseguridad de abril de 2025

Descubra por qué la contención de brechas, la observabilidad de la IA y el servicio al cliente están definiendo el futuro de la ciberdefensa.

Lee más
No se encontraron artículos.

Experimente Illumio Insights hoy

Vea cómo la observabilidad impulsada por IA le ayuda a detectar, comprender y contener amenazas más rápido.