Roberto Lara (Vodafone): “La seguridad no resta agilidad, la multiplica” ante el auge de los ciberataques impulsados por IA

Desde hace varios meses, el panorama del cibercrimen en España experimenta un salto cualitativo de la mano de la inteligencia artificial. Las capacidades de esta tecnología han abierto un mundo de posibilidades también a los ciberdelincuentes, elevando el alcance y calidad de sus ataques.

Correos de suplantación, audios y videollamadas falsificadas mediante deepfakes son cada vez más difíciles de distinguir de las comunicaciones legítimas. Lo que explica el incremento del 16,6% de incidentes gestionados por Incibe en 2024,

A ello se suma el impacto de modelos como el ransomware as a service (RaaS). El acceso a herramientas cada vez más sofisticadas amplía todavía más la capacidad operativa de los atacantes.

La ciberseguridad como nueva defensa nacional

Como consecuencia, organizaciones de todos los tamaños y sectores, han de hacer frente a un escenario más amplio, más automatizado, más complejo y más difícil de anticipar.

“La inteligencia artificial está permitiendo a los ciberdelincuentes crear ataques mucho más precisos y creíbles”, confirma el director de la Unidad de Negocio de Ciberseguridad en Vodafone Empresas, Roberto Lara, en entrevista con DISRUPTORES - EL ESPAÑOL. Un fenómeno que, según destaca, “acelera la creación y el perfeccionamiento de malware”.

Inversión, no gasto

Para afrontar este desafío, la ciberseguridad se convierte en una pieza fundamental en cualquier estrategia empresarial para “proteger el negocio, no sólo los datos, garantizando su continuidad”, defiende Lara.

Frente a quienes todavía la perciben como una carga, insiste en que cada euro invertido en prevención evita pérdidas mucho más costosas. “Cuando un cliente consigue medirlo, por ejemplo, reduciendo un 40% los tiempos de inactividad o cumpliendo con normativas europeas exigentes, ve la diferencia”, asegura.

“La seguridad no resta agilidad, la multiplica"

Y resume la idea en una frase: “La seguridad no resta agilidad, la multiplica”. Para demostrarlo, cuenta que Vodafone trabaja con indicadores concretos (tiempos de detección, número de incidentes mitigados, resultados de auditorías o simulacros) porque “la seguridad debe verse como un habilitador de negocio”, capaz de garantizar disponibilidad, confianza y estabilidad reputacional.

A ello se suma un contexto regulatorio mucho más exigente, aunque el directivo confía en su flexibilidad. “Tanto NIS2 como DORA funcionan como una lista de comprobaciones”, describe. No se trata de aplicar recetas universales, sino de analizar caso por caso cada compañía: sector, tamaño, madurez y necesidades. “Es esencial ajustar el plan de ciberseguridad a la realidad de cada empresa”, insiste, desde quienes cuentan con políticas consolidadas hasta quienes empiezan desde cero.

Unificar para proteger

La fragmentación tecnológica también ha elevado la actual complejidad. Muchas empresas acumulan proveedores y soluciones sin conexión entre sí que dificultan la coordinación. “Un modelo ‘todo en uno’ ofrece una visión integral de la seguridad y permite tomar decisiones con mayor agilidad”, apunta el directivo.

Pero, matiza, no se trata de encerrar al cliente en un ecosistema rígido: “No buscamos un modelo cerrado, mantenemos la interoperabilidad necesaria para incorporar piezas especializadas cuando aportan valor”.

“Cuando faltan perfiles senior y la información está fragmentada, los incidentes suelen prolongarse”

La falta de talento especializado añade más presión. “Cuando faltan perfiles senior y la información está fragmentada, los incidentes suelen prolongarse”, explica. La propuesta de Vodafone es ofrecer, a través de Service Security Manager, un único interlocutor “que coordine el conjunto”.

De esta forma, la compañía garantiza una “respuesta coherente de extremo a extremo”, en entornos híbridos donde conviven oficina, teletrabajo, nube y movilidad. “Se trata de coordinar con autoridad para cerrar brechas entre equipos y alinear la seguridad con los objetivos operativos”, para reducir procesos y acelerar la toma de decisiones.

SOCs interconectados

Ante este panorama, la vigilancia continua promete detectar y frenar incidentes antes de que escalen. “Los ciberataques son hoy más rápidos, automatizados y difíciles de identificar, especialmente desde que los ciberdelincuentes emplean IA para lanzar campañas masivas”, recuerda.

En Vodafone han construido una red nacional de SOCs interconectados que trabajan de forma coordinada 24 horas al día, los 7 días de la semana, desde Madrid, Barcelona, Murcia y pronto Mallorca, bajo el paraguas del Centro de Resiliencia y Excelencia en Ciberseguridad (CREC).

“Los ciberataques son hoy más rápidos, automatizados y difíciles de identificar"

“Esta red nos permite monitorizar de manera continua oficinas, plantas industriales y dispositivos móviles, combinando la experiencia de los equipos humanos con tecnologías de análisis avanzado que procesan millones de eventos en tiempo real para detectar patrones anómalos y activar la respuesta inmediata.”

Gracias a esto, la compañía aspira a “detectar un incidente crítico en cuestión de minutos, contenerlo en pocas horas y restablecer la normalidad en uno o dos días”. Pero para Lara, la clave está en ir un paso por delante: “Si el ciberdelincuente emplea IA para ser más rápido y preciso, la defensa debe utilizarla con la misma intensidad”.

En cualquier caso, la diferencia entre sufrir un ataque grave y contenerlo está en la preparación. “Un ataque de ransomware no siempre se puede evitar, pero sí se puede limitar su alcance”, advierte.

Cita el caso de una organización mediana cuya red administrativa fue atacada: “La propagación quedó contenida en minutos” gracias a la detección temprana, el plan de continuidad mantuvo la producción y las copias cifradas permitieron restaurar todo en menos de 24 horas.

IA contra IA

Sin duda, la inteligencia artificial ha cambiado las reglas del juego en el panorama del fraude digital. “Hoy es posible recibir correos, audios o videollamadas falsificados con gran precisión”, señala Lara, capaces de imitar la voz o imagen de un directivo. Por eso, la defensa debe operar con la misma velocidad que el atacante.

Gracias al uso de la IA, “nuestros sistemas analizan millones de eventos en tiempo real para identificar anomalías y activar automáticamente los protocolos de contención”. En Vodafone también desarrollan modelos predictivos y utilizan tecnologías de deception que "analiza las técnicas del atacante sin riesgo para la infraestructura real”.

Todo ello, asegura, “nos permite adelantarnos al fraude antes de que genere un impacto operativo o económico”.

Le preguntamos qué propondría a una organización que le pide un plan a 90 días. Lara no lo duda: “Lo primero es identificar con precisión qué debe protegerse; lo segundo, reforzar detección y respuesta con monitorización continua y automatización; y lo tercero, ensayar la respuesta”.

“Simular un ataque, verificar las copias y validar roles permite convertir los protocolos en práctica real”, afirma. Su síntesis para concluir es rotunda: “Conocer, detectar y entrenar. Con estos pilares, una organización pasaría de estar expuesta a estar preparada”.