En un contexto de creciente aceleración tecnológica y social, la burocratización de empresas y administraciones públicas se convierte en un factor crítico de vulnerabilidad en ciberseguridad. El siguiente Focus analiza cómo la inercia organizativa, caracterizada por la lentitud en la modernización de sistemas y la aplicación de parches de seguridad, amplifica los riesgos frente a actores ofensivos que aprovechan la inteligencia artificial (IA) para desarrollar malware sofisticado y reducir drásticamente los tiempos de explotación de vulnerabilidades. Mientras los atacantes, potenciados por la IA, han disminuido las barreras técnicas y acelerado sus capacidades, las organizaciones defensivas enfrentan limitaciones económicas, legales y éticas que retrasan su respuesta. Factores como la priorización de operaciones diarias, el temor a fallos en sistemas críticos, la obsolescencia de infraestructuras heredadas y la falta de recursos agravan esta desincronización. La reducción del tiempo medio de explotación de vulnerabilidades y la proliferación de exploits automatizados en en cuestión de minutos evidencian un cambio de paradigma que exige una transformación urgente en la ciberseguridad institucional. La procrastinación burocrática no solo compromete la eficiencia, sino que representa un riesgo sistémico para la seguridad nacional y la continuidad de infraestructuras críticas, demandando una nueva cultura organizacional centrada en la velocidad, la automatización y la resiliencia.
Índice
- Introducción
- La IA como elemento disruptivo en el desarrollo de malware
- Limitaciones burocráticas en la aplicación de la IA defensiva
- Un riesgo multiplicado que necesita ser enfrentado
- Conclusiones
Introducción
En su libro 1984, el célebre escritor George Orwell (1949) nos mostró cómo el aparato administrativo de los Estados puede convertirse, más que en una herramienta al servicio del Estado, en un fin en sí mismo, incapaces de adaptarse los burócratas a la realidad que les rodea.
De hecho, la historia del pensamiento político y sociológico contemporánea está repleta de advertencias sobre los peligros de la burocratización. Desde Max Weber, que reconocía en la burocracia tanto un instrumento racional de gobierno como a una maquinaria propensa a la rigidez, hasta Robert Merton (1940) o Michel Crozier (1964), que subrayaron las disfunciones y la resistencia al cambio, numerosos autores han coincidido en diagnosticar que las instituciones suelen reaccionar con lentitud frente a problemas que exigen una esencial rapidez.
No resulta extraño que estas disfunciones burocráticas se vean agravadas en una sociedad cada vez más líquida y acelerada. La práctica instantaneidad de las comunicaciones amplifica un proceso de desincronización entre lo que la sociedad exige y unas estructuras empresariales y estatales caracterizadas por la inercia organizativa.
Cuando el entorno cambia con rapidez, la inercia organizativa ya no es sólo una deficiencia administrativa, sino un factor que multiplica los riesgos y vulnerabilidades existentes.
Especialmente, en el panorama actual de la ciberseguridad, el desfase originado por los diferentes ritmos de empresas, administraciones y sociedad deja expuestos a ciudadanos y organizaciones a unos actores ofensivos que han visto mejoradas sus capacidades a un ritmo vertiginoso, gracias a la incorporación de la Inteligencia Artificial (IA) en sus vidas.
La capacidad de los atacantes para innovar a una velocidad de vértigo, enfrentada a unos defensores encorsetados por limitaciones económicas, legales y éticas ilustra el riesgo estructural que supone una inercia burocrática caracterizada por ser un factor de vulnerabilidad estratégica.
La IA como elemento disruptivo en el desarrollo de malware
Los avances en automatización que ha generado la aparición de las inteligencias artificiales generalistas han tenido claramente dos primeras consecuencias en los ambientes underground: por un lado, han facilitado la entrada a la ciberdelincuencia a actores no capacitados técnicamente. Por otro, han producido un aceleramiento en los ritmos del ciclo atacante-defensor.
La IA ha permitido no solamente mejorar los arsenales de los atacantes, sino también, reducir las barreras formativas impuestas a los ciberdelincuentes. O, dicho de otro modo, las barreras para iterar y optimizar los ataques han descendido considerablemente. Un ejemplo de ello podemos encontrarlo en el aumento de la sofisticación de las tácticas de ingeniería social que se ha experimentado en los últimos años, o en el incremento de malware polimórfico detectado.
Tradicionalmente, cuando se descubría una vulnerabilidad en un software, había un periodo de tiempo de días o semanas, conocido como tiempo de explotación, antes de que los atacantes desarrollaran un exploit funcional y explotable para aprovechar dicha vulnerabilidad. ReliaQuest identificó una reducción del 62 % del tiempo de explotación de los incidentes registrados en 2023 con respecto a 2024. Si en 2023 el promedio de explotación fue 47 días, en 2024 fue tan solo de 18, sugiriendo las investigaciones que en 2025 este lapso será aún menor (Fuentes McDonnel, 2025).
De hecho, en agosto de 2025 se anunció un sistema automatizado que permite producir exploits plenamente operativos en minutos a partir de boletines de vulnerabilidades (CVEs) (Mayura, 2025).
Otra señal alarmante es el creciente mercado negro de exploits y herramientas de ataque disponibles. En este sentido, el IBM X-Force Threat Report 2025 reveló que varias de las vulnerabilidades más mencionadas en la dark web estaban vinculadas a actores estatales. Es decir, cualquier grupo con recursos modestos puede adquirir en la actualidad kits de ataque avanzados, reduciendo con ello la brecha tecnológica que antes separaba a un cibercriminal común de un actor estatal.
Además, si a esa disponibilidad sumamos la rápida mejora que ofrece una herramienta como la IA capaz de personalizar y optimizar esos exploits para entornos específicos, el abanico de potenciales atacantes efectivos se amplía considerablemente.
En la práctica, esto significa no solamente que los atacantes pueden tener listo un código malicioso prácticamente al instante desde que se conoce una vulnerabilidad, sino que, además, el acceso a modelos de lenguaje avanzados les permite refinar sus tácticas de ingeniería social para engañar a unas víctimas habituadas a emplear filtros de seguridad idiomáticos o de estilo.
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
IMPORTANTE: Las opiniones recogidas en los artículos pertenecen única y exclusivamente al autor y no son en modo alguna representativas de la posición de Ejércitos – Revista digital sobre Defensa, Armamento y Fuerzas Armadas, un medio que está abierto a todo tipo de sensibilidades y criterios, que nace para fomentar el debate sobre Defensa y que siempre está dispuesto a dar cabida a nuevos puntos de vista siempre que estén bien argumentados y cumplan con nuestros requisitos editoriales.
Be the first to comment