La IA generativa se ha convertido rápidamente en un multiplicador de fuerzas para los ciberdelincuentes y los hackers. Esta potente tecnología puede automatizar el desarrollo de malware destructivo, crear deepfakes realistas y diseñar campañas de ingeniería social convincentes. Como resultado, las barreras de entrada para los actores menos cualificados son mucho menores, mientras que los adversarios sofisticados pueden operar a mayor velocidad y escala. Los investigadores de Unit 42 han demostrado que los ataques asistidos por IA pueden pasar de comprometer un sistema a exfiltrar datos en solo 25 minutos, en comparación con los dos días que tardan los atacantes humanos.
Desgraciadamente, la situación empeorará debido a la aparición de la IA agéntica. Mientras que el ransomware tradicional y otros ataques requieren scripts preprogramados, los agentes de IA pueden adaptar sus enfoques y estrategias en tiempo real. Pueden aprender de las respuestas defensivas y evolucionar los ataques más rápido de lo que los humanos pueden contraatacar. Esto se debe a que los agentes de IA tienen la capacidad de razonar, planificar y actuar de forma autónoma.
Pero muchas organizaciones no están preparadas para la amenaza de la IA agéntica. Han basado sus estrategias de ciberseguridad en la peligrosa premisa de que todos los ataques pueden prevenirse.
Entonces, ¿qué hay que hacer? Las empresas deben realizar un cambio fundamental en su estrategia. Se trata de pasar de una mentalidad basada únicamente en la prevención a un modelo basado en la verdadera resiliencia.
De la copia de seguridad a la reconstrucción completa del entorno de la aplicación
Durante décadas, la base de la recuperación cibernética ha sido bastante sencilla: copia de seguridad y restauración. Pero el ransomware moderno hace que este enfoque sea prácticamente inútil.
Los atacantes no solo cifran los sistemas, sino que también corrompen las capacidades de recuperación. Esto implica desactivar o eliminar snapshots, manipular las políticas de retención de copias de seguridad y comprometer las capas de orquestación. Ni siquiera el llamado «almacenamiento inmutable» es inmune. Los atacantes pueden secuestrar el plano de gestión de copias de seguridad y las políticas antes de que se activen los snapshots. O pueden explotarse fallos de configuración.
En este nuevo mundo, la resiliencia exige la capacidad de reconstruir todo un entorno, como rebobinar datos, aplicaciones, redes, marcos de identidad y sus dependencias en la nube. Estos artefactos se escanean continuamente y luego se colocan como copias de confianza para recuperaciones limpias en un momento determinado. De este modo, las empresas pueden recrear sus ecosistemas de TI tal y como eran antes del compromiso.
Sin esta capacidad, un compromiso del sistema puede paralizar las operaciones. Incluso un solo día de inactividad puede suponer pérdidas millonarias, multas reglamentarias y daños a la reputación.
De simulacros de recuperación ante desastres poco frecuentes a pruebas de recuperación periódicas
Para las empresas, los simulacros de recuperación ante desastres son poco frecuentes. Quizás haya un ejercicio teórico anual, principalmente con fines de cumplimiento normativo.
Pero la ciberresiliencia requiere que la recuperación forme parte de la memoria muscular de una organización. Esto significa realizar pruebas de reconstrucción automatizadas frecuentes en entornos aislados, por ejemplo, mensualmente o incluso semanalmente.
Las plataformas en la nube hacen que esto sea práctico y rentable. Puedes crear fácilmente entornos de pruebas para las pruebas de reconstrucción y luego desmontarlos cuando hayan finalizado, sin tener que reservar capacidad de computación y almacenamiento con antelación.
Además, mediante el uso de pruebas de caos en el simulacro de reconstrucción en un entorno aislado clonado, las empresas pueden validar el rendimiento de los sistemas bajo tensiones del mundo real. Esto puede incluir la simulación de fallos de red, interrupciones de autenticación o dependencias corruptas.
Otra estrategia útil es adoptar el marco de viabilidad mínima. En este caso, la atención se centra en restaurar los servicios críticos, como los sistemas de identidad, la gestión de pedidos o las plataformas de atención al paciente. Al clasificar las aplicaciones en categorías críticas para la misión, críticas para el negocio y no críticas, las pruebas de reconstrucción se vuelven prácticas y se alinean estratégicamente con la continuidad del negocio.
De los manuales aislados a la recuperación multifuncional como código (RaC)
Para muchas organizaciones, la planificación de la recuperación está aislada. Los equipos de seguridad, operaciones de TI, aplicaciones y continuidad del negocio mantienen sus propios manuales de procedimientos. Estos se encuentran dispersos en documentos de Word, sistemas de tickets y presentaciones de PowerPoint.
El hecho es que rara vez se prueban de forma holística. Esto significa que las dependencias de las aplicaciones, las configuraciones de la nube y los sistemas de identidad a menudo no están documentados, es decir, hasta que es demasiado tarde.
Una forma eficaz de gestionar esto es con la recuperación como código (RaC), que convierte los manuales fragmentados y estáticos en procesos generados automáticamente y controlados por versiones. RaC estructura los procesos de recuperación como código ejecutable que se puede probar y desarrollar con el tiempo. Esto unifica a los equipos de seguridad, nube y aplicaciones en torno a una única fuente de información veraz. También permite una mejora continua. Cada simulacro de reconstrucción actualiza la automatización, lo que la hace más fiable para la siguiente.
Al adoptar RaC, las empresas ganan tanto en velocidad como en confianza. Los fallos que antes provocaban días de inactividad pueden solucionarse en cuestión de horas, ya que los equipos no tienen que apresurarse a interpretar documentos bajo presión. Y como RaC se ejecuta como código, se adapta de forma coherente a todos los entornos y se ajusta a las prácticas modernas de DevOps. En última instancia, RaC transforma la recuperación de un ejercicio teórico a una capacidad real, que garantiza que la organización pueda resistir y recuperarse incluso de los ataques más avanzados impulsados por la inteligencia artificial.
Conclusión
El auge de la IA agéntica significa que los ciberataques solo crecerán más rápido, serán más inteligentes y más implacables. Las organizaciones que se aferran a estrategias basadas únicamente en la prevención seguirán estando a una brecha de distancia del desastre. Al adoptar los tres cambios (reconstrucción completa del entorno, pruebas de recuperación automatizadas periódicas y RaC), las empresas pueden sustituir la frágil esperanza por una resiliencia activa probada. No se trata solo de sobrevivir a un incidente, sino de garantizar la continuidad del negocio, proteger la confianza y convertir la recuperación en una verdadera ventaja competitiva.
Por Govind Rangasamy, director de soluciones de recuperación de Commvault
