Tech Week Costa Rica 2025: ciberseguridad en la era de la IA, ¿un aliado o una amenaza?
- Redacción IT NOW
- hace 3 horas
- 6 Min. de lectura
Diana González, de Akamai y CyberSec Cluster; Mario Zamora Madriz, de la Contraloría General de la República de Costa Rica; y Alexander Aguilar, INCAE Business School, debatieron sobre los peligros que plantea la IA. La necesidad de mayor educación y la importancia de políticas claras, gobernanza de datos, y la colaboración entre los sectores público y privado para enfrentar estos desafíos.
En el marco del Tech Week 2025 que se desarrolla en Costa Rica, el Tech Day inició su jornada con un panel de lujo titulado "Ciberseguridad en la era de la IA, ¿aliado o amenaza?". Este espacio reunió a destacados expertos para discutir la relación crítica entre la ciberseguridad y la inteligencia artificial (IA) en el mundo actual. Los panelistas fueron Diana González, miembro del CyberSec Cluster y Senior Service Line Manager Professional Services de Akamai; Mario Zamora Madriz, Chief Information Security Officer de la Contraloría General de la República de Costa Rica; y Alexander Aguilar, CIO de INCAE Business School.
El debate central giró en torno a cómo la IA, si bien puede ofrecer beneficios, también genera amenazas significativas. Se plantearon las principales amenazas identificadas con el uso de la inteligencia artificial.
Zamora destacó que actualmente existe un desbalance entre atacantes y defensores, con los atacantes teniendo muchas herramientas disponibles. La IA generativa, por ejemplo, puede ayudar a los atacantes a crear campañas de phishing más eficientes y enfocadas, con una tasa de éxito potencialmente mayor. Además, mencionó los ataques tipo "deepfake", donde se puede suplantar la identidad de una persona a nivel de video o audio para obtener ventajas económicas, señalando que estos ataques ya han ocurrido en empresas. Zamora subrayó que la IA generativa incluso brinda una ventaja a los atacantes novatos que no son expertos en programación, permitiéndoles obtener resultados utilizables para ataques.
Aguilar coincidió con Zamora en que las organizaciones se enfrentan ahora a amenazas muchísimo más sofisticadas. Sin embargo, el riesgo principal, según Aguilar, radica en que muchas organizaciones intentan combatir las amenazas actuales con infraestructura obsoleta.
Un punto clave discutido fue la brecha educativa. Aguilar señaló que, si bien casi todos han trabajado con IA (incluso solo haciendo consultas en herramientas como Gemini o ChatGPT), muy pocos han hecho más que eso. Esto contrasta con la fuerza de atacantes maliciosos, que está altamente educada y profesionalizada. Aguilar afirmó que los defensores no están tan educados, y hay una falta de personas capacitadas en ciberseguridad para apoyar esta lucha. La realidad es que el "landscape" de atacantes es mucho más grande ahora, incluyendo no solo profesionales sino también jóvenes "de 10, 15 años que se meten a probar qué puede pasar".
González enfatizó la importancia primordial de las políticas y la forma en que se educa a los usuarios desde los departamentos de tecnología y seguridad. Aguilar también recalcó la necesidad de educar muy bien a la gente y asegurarse de que conozcan las políticas de seguridad de sus organizaciones. Es fundamental explicar a los usuarios en lenguaje sencillo por qué ciertas acciones son un riesgo y a qué se exponen con ciertos comportamientos. A menudo, el punto más débil en la ciberseguridad son los propios usuarios, aunque esto ocurra "desgraciadamente" casi siempre. Zamora añadió que los atacantes tienen "muchos más recursos, más capacitación".
Preparación a nivel país
Ante la pregunta sobre cómo se está preparando Costa Rica como país, González opinó que debería existir una directriz importante tanto para la empresa privada como para la pública, aunque reconoció que aún falta acuerdo. Mientras los atacantes se ponen de acuerdo fácilmente, en Costa Rica "cada quien librando su batalla". Propuso sentar en un panel a la academia, el gobierno y la empresa privada para conjuntar frentes y abordar la situación juntos, ya que "cada uno librando su batalla no lo vamos a lograr realmente". González también destacó que los atacantes atacan 24/7, no se cansan, mientras los defensores deben estarlo, y que los atacantes "no tienen límite".
Zamora, desde la Contraloría, consideró que los ciberataques sufridos (como los que afectaron a instituciones como la Caja) marcaron un "antes y un después" para el país, que no estaba preparado para ataques persistentes. Reconoció que en las instituciones públicas a menudo están aislados y falta un esfuerzo conjunto. Aunque algunas instituciones tienen más recursos, otras tienen pocos especialistas en TI que deben hacer de todo. El especialista mencionó que la IA podría automatizar tareas como la detección de amenazas en estos casos. Afirmó que el país ha tomado "grandes pasos" para mejorar su postura, mencionando organizaciones como el Cybersecurity Cluster que unen los sectores privado, público y educativo para compartir información y discutir. A nivel gubernamental, destacó la presentación reciente de un marco de educación para la fuerza laboral en ciberseguridad, abordando alianzas público-privadas, presupuesto, educación temprana y "reskilling".
Estrategias de preparación
Zamora reiteró la importancia de la educación. Para quienes trabajan en tecnología y ciberseguridad, la preparación debe ser constante. Destacó el tema del "reskilling" para los profesionales, señalando que la IA no necesariamente robará trabajos, pero quien no se adapte a las nuevas tecnologías será superado. También abogó por la incorporación e implementación proactiva de la IA dentro de las organizaciones; de lo contrario, los usuarios lo harán por su cuenta (shadow AI), generando problemas. La preparación implica tanto educación como implementación.
Aguilar enfatizó que educar a la gente es fundamental. No sirve tener los mejores sistemas si la gente comete errores básicos de seguridad. Las políticas deben ser conocidas por todos, y se deben abrir espacios para conversar sobre los riesgos. Es clave explicar los conceptos técnicos en "buen español" para que todos entiendan por qué es importante la seguridad.
González destacó la investigación y el desarrollo como una parte muy importante para las empresas, manteniéndose "encima de todo lo que está sucediendo". Aunque el sector privado se enfoca en generar dinero, tienen la responsabilidad de estar a la vanguardia y educar a sus clientes y a la sociedad civil sobre los riesgos y cómo defenderse. Dio como ejemplo el desarrollo de un producto de su compañía específicamente para ataques de IA, que llevó años de desarrollo.
Zamora sugirió que, en su criterio, las empresas deberían sacar la ciberseguridad de los departamentos de TI. Argumentó que TI se enfoca en atender incidencias diarias, mientras que ciberseguridad debería convertirse en un ente auditor e investigador, yendo "adelante con ese investigativo". Esto implica probar cosas, hacer laboratorios e incluso autoatacar a la empresa para verificar la robustez de los sistemas donde se implementa la IA.
Aguilar añadió la importancia de conocer cómo funcionan los modelos de inteligencia artificial, abogando por la transparencia sobre el origen de los datos y los algoritmos utilizados. También resaltó la calidad de los datos: deben estar ordenados y sin sesgos si se van a usar herramientas de IA.
Gobernanza, legislación y ética
El panel también abordó los sesgos y temas éticos inherentes al manejo de la IA, dado que su entrenamiento depende de datos que pueden contenerlos. Diana González señaló que la legislación es uno de los temas principales. Citó un estudio de 2021 que indicaba que la gran mayoría de países no tenía legislación sobre IA, y solo dos en el mundo tocaban la parte de actores maliciosos en IA. Afirmó que a menudo "nos atropella la tecnología" y no hay soporte legal para las personas afectadas. Considera crítico para el país trabajar en legislaciones que protejan a las personas antes, durante y después de la adopción de estas tecnologías.
Zamora, por su parte, mencionó que en la Contraloría desarrollaron lineamientos para el uso ético y responsable de la inteligencia artificial. Estos definen responsabilidades para funcionarios y TI, y cómo debe utilizarse la IA. Establecer esa gobernanza y reglamentos es muy importante, ya que usar IA sin ella representa un riesgo mayor.
Aguilar coincidió completamente en la importancia de la gobernanza y la legislación. Sin embargo, subrayó que es crucial llevar todo eso a las personas. No sirven las mejores políticas si la gente no las entiende o no las "interioriza". Es labor de los profesionales de la tecnología llegar a los usuarios y explicarles cómo manejar los datos, cuáles proteger, etc.
¿Preocupados o Ilusionados?
Para concluir, los panelistas compartieron si el futuro de la IA los preocupa o los ilusiona. Aguilar se siente muchísimo más ilusionado que preocupado. Lo ilusiona enormemente el bien y las cosas buenas que se pueden lograr con la IA, que van "casi tan allá como nuestra imaginación". Sin embargo, sí le preocupa que, como con otras tecnologías, haya una parte "más mala" detrás que dependa de sesgos humanos y de datos, y que por la ilusión de avanzar rápido, se dejen estos aspectos de lado.
Zamora se inclina a estar más preocupado. Mencionó la posibilidad de que la IA reemplace al 90% de los programadores en el futuro. Su preocupación principal radica en la gran cantidad de riesgos y vulnerabilidades que se abren al utilizar IA. Citó la lista de vulnerabilidades de aplicaciones de IA de OWASP, señalando que podrían permitir acceso no autorizado a datos. Argumentó que con la IA integrada en muchas aplicaciones, habrá "muchísimos riesgos más que hay que administrar". A modo de broma, se señaló que esto significaría más trabajo para los expertos en ciberseguridad.
González, a partir de esa idea, dijo que a ella la ilusiona. Reflexionó sobre el rápido avance de la humanidad en los últimos 100 años y cómo, con la ayuda de la IA, se pueden alcanzar logros impensables de manera mucho más rápida.