- La intel·ligència artificial permet detectar, correlacionar i respondre a ciberamenaces a gran escala, reduint falsos positius i temps de reacció.
- La IA generativa potencia tant la defensa (simulació, dades sintètiques, automatització) com l'atac (phishing avançat, deepfakes, clonatge de veu).
- El machine learning s'aplica a la classificació de dades, l'anàlisi conductual, els perfils d'usuari i el bloqueig de bots, millorant la protecció sense substituir els equips humans.
- L'èxit futur passa per assegurar la canalització pròpia d'IA, complir la normativa de dades i combinar automatització amb supervisió i criteri humà.
En un món hiperdigitalitzat, la ciberseguretat s'ha convertit en el cinturó de seguretat imprescindible i és clau a la seguretat i privadesa a l'era digital per a empreses, administracions i ciutadans corrents. Cada nou servei al núvol, cada dispositiu connectat i cada aplicació que instal·lem amplia la superfície d'atac que poden explotar els ciberdelinqüents.
En paral·lel, l'arribada de la intel·ligència artificial (IA), l'aprenentatge automàtic (ML) i la IA generativa ha canviat completament les regles del joc. Aquestes tecnologies no només reforcen la defensa, sinó que també estan sent aprofitades pels atacants per llançar campanyes més massives, precises i difícils de detectar, cosa que obliga a entendre molt bé què aporten, com funcionen i on són els seus límits.
Com està transformant la IA la ciberseguretat
La IA ha suposat un salt qualitatiu en la manera de detectar, investigar i respondre a incidents, especialment en entorns on es generen milions d'esdeveniments de seguretat al dia. Plataformes com SIEM, XDR, NDR o solucions d'endpoint modernes serien pràcticament immanejables sense algorismes capaços de filtrar soroll i prioritzar allò veritablement crític.
A la majoria d'organitzacions, els sistemes de seguretat registren milers i milers d'esdeveniments cada minut: connexions estranyes, inicis de sessió repetits, descàrregues sospitoses, canvis de configuració, etc. La major part d'aquestes alertes són innòcues, però unes quantes amaguen comportaments clarament maliciosos. Aquí és on la IA brilla, ja que aprèn a distingir patrons legítims dels que apunten a un atac real.
Els models de machine learning correlacionen activitats que, vistes per separat, semblen inofensives (un login fora d'horari, un fitxer comprimit, un accés a un servidor concret), però que en conjunt formen el rastre típic d'un ransomware, un moviment lateral o una exfiltració de dades, per això és clau comptar amb còpies de seguretat locals.
A més, les solucions més avançades integren motors de IA generativa capaços de redactar informes comprensibles en llenguatge natural, resumint què ha passat, quin és l'impacte potencial, quins sistemes estan afectats i quines accions es recomanen. Això redueix moltíssim el temps d'anàlisi i facilita que els responsables no tècnics entenguin el risc i prenguin decisions.
Una altra contribució clau és la identificació automàtica de vulnerabilitats i actius desconeguts: dispositius que es connecten a la xarxa sense autorització, aplicacions al núvol no inventariades, sistemes operatius sense pegat o dades sensibles mal protegides. En creuar inventaris, fluxos de xarxa i polítiques, la IA destapa buits de seguretat que abans passaven desapercebuts.
També ha esdevingut un aliat directe per als equips de SOC, ja que tradueix consultes complexes i resultats tècnics a llenguatge quotidià. Els analistes júnior poden investigar incidents sense dominar llenguatges de consulta avançats, i la pròpia eina proposa passos de remediació, guies per contenir l'atac i bones pràctiques per evitar que es repeteixi.
En afegir i analitzar dades de fonts molt diverses —logs de seguretat, trànsit de xarxa, intel·ligència d'amenaces externa, comportament d'usuaris i endpoints— la IA ofereix una visió unificada de l'estat de seguretat, inclosa la gestió de equips per a xarxes, assenyalant patrons d'atac que serien impossibles de veure manualment. Aquesta capacitat de síntesi converteix dades caòtiques en informació realment accionable.
Un punt en què la IA marca una gran diferència és la reducció de falsos positius i falsos negatius. Mitjançant reconeixement de patrons, anàlisi de context, detecció d'anomalies i aprenentatge continu, els models ajusten la seva sensibilitat per minimitzar tant les alertes irrellevants com les amenaces passades per alt, cosa vital per combatre la fatiga d'alertes que pateix el personal de seguretat.
Finalment, la IA aporta una escalabilitat que el treball purament humà no pot igualar. És capaç de processar fluxos de dades massives a temps real, aprendre de cada incident i adaptar-se a noves tàctiques d'atac. A mesura que creix el volum de ciberamenaces i la complexitat de la infraestructura, aquesta capacitat d'escalar sense disparar els costos de personal esdevé indispensable.
Aplicacions pràctiques d'IA a ciberseguretat
A la pràctica, la IA ja és present a gairebé totes les capes de defensa organització. Des de l'autenticació de l'usuari fins a la detecció de comportaments anòmals, el seu paper va molt més enllà de ser un simple “extra” tecnològic.
En gestió d'identitats, per exemple, la IA ajuda a reforçar la protecció i autenticació de contrasenyes, detectant usos inusuals, accessos des d'ubicacions poc habituals o dispositius mai vists abans, especialment en entorns mòbils com Android vs iOS seguretat. També contribueix als sistemes d'autenticació adaptativa, elevant el nivell de seguretat quan alguna cosa “no quadra” al patró de l'usuari.
Al terreny de la detecció i prevenció del frau i la suplantació d'identitat (phishing, spear phishing, vishing, SMSishing, QRishing…), els algorismes analitzen el contingut, l'estil de redacció, els enllaços incrustats i les metadades per distingir comunicacions legítimes d'intents d'engany cada cop més polits gràcies a la IA generativa, i són una peça clau de la protecció en línia.
Les àrees de gestió de vulnerabilitats i seguretat de xarxa també se'n beneficien enormement. Els motors de ML prioritzen errors de seguretat en funció de la seva explotabilitat real i del context concret de l'organització, mentre que els sistemes basats en IA monitoren el trànsit a la recerca de patrons anòmals, comunicacions amb dominis maliciosos o moviments laterals entre servidors, i gestionen claus amb mòduls de seguretat de maquinari.
L'anàlisi conductual s'ha convertit en una altra de les grans cartes: es construeixen perfils de comportament tant dusuaris com de sistemes, de manera que qualsevol desviació rellevant —horaris estranys, accessos a dades sensibles no habituals, volums de descàrrega poc comuns— dispareu una alerta o fins i tot una resposta automàtica.
Eines de ciberseguretat impulsades per IA
La teoria està molt bé, però on es veu de debò l'impacte és a les solucions concretes que ja integren IA o ML com a part central del seu funcionament. Entre les més importants podem destacar diversos grups i productes representatius de cada categoria.
En primer lloc, trobem les solucions de seguretat d'endpoint impulsades per IA, capaços de bloquejar codi maliciós desconegut analitzant el seu comportament en temps real, sense dependre únicament de signatures. Moltes suites antivirus de nova generació incorporen aquests motors, combinant anàlisis estàtica, dinàmica i models predictius.
Els firewalls de nova generació (NGFW) basats en IA aporten inspecció profunda del trànsit, identificació d'aplicacions, detecció d'intrusions i segmentació intel·ligent. La IA ajuda a detectar patrons de comunicació inusuals, túnels encoberts o intents d'evasió de polítiques que un tallafoc tradicional passaria per alt. Per a arquitectures de perímetre i segmentació es recomana revisar el anàlisi de encaminadors.
Dins de la part de monitorització centralitzada, les plataformes de SIEM (Informació de seguretat i gestió d'esdeveniments) han evolucionat cap a motors analítics molt més intel·ligents. Correlacionen esdeveniments de centenars de fonts, apliquen models de comportament i prioritzen incidents sospitosos, reduint el treball manual dels SOC.
També han guanyat força les solucions de seguretat al núvol basades en IA, que supervisen entorns IaaS, PaaS i SaaS, detecten configuracions errònies, accessos anòmals a APIs i moviments estranys entre regions o comptes. En infraestructures multicloud, aquests motors són clau per no perdre visibilitat.
Finalment, hi ha les eines de NDR (Network Detection and Response) impulsades per IA, dissenyades específicament per detectar ciberamenaces a través de l'anàlisi profunda del trànsit de xarxa. Identifiquen ordres de control, exfiltracions, escanejats interns o activitats de bots, i ofereixen respostes automatitzades com aïllar equips o bloquejar connexions.
IA generativa: el nou front de la ciberseguretat
La irrupció de la IA generativa (com els models tipus GPT o les GAN) ha obert un front totalment nou al camp de la ciberseguretat. Aquests models no només analitzen dades, sinó que són capaces de generar contingut: text, imatges, àudio, vídeo o fins i tot codi.
Al costat defensiu, la IA generativa permet simular ciberatacs complexos per posar a prova les defenses, generar dades sintètiques per entrenar sistemes sense comprometre informació real i crear escenaris d'entrenament extremadament realistes per als equips de resposta a incidents.
En entorns de SOC i plataformes SIEM, els models generatius aprenen del comportament normal de la xarxa i assenyalen desviacions subtils que poden indicar codi maliciós (malware), ransomware o trànsit encobert, millorant notablement la detecció d'anomalies respecte a regles estàtiques.
A més, aquesta tecnologia contribueix a la automatització avançada de tasques de seguretat: des de proposar regles de tallafocs optimitzades fins a generar scripts de resposta davant d'incidents, passant per redactar informes executius clars a partir de logs tècnics complexos. La IA generativa actua com una mena d'assistent especialitzat que estalvia hores de treball repetitiu.
El seu impacte en la formació també és enorme, ja que permet recrear entorns realistes que s'adapten dinàmicament al nivell de l'alumne, combinant diferents vectors (phishing, moviment lateral, escalada de privilegis, exfiltració) per entrenar tant les habilitats tècniques com la presa de decisions sota pressió.
Ciberatacs potenciats per IA generativa
Per desgràcia, els ciberdelinqüents han estat molt ràpids a explotar la IA generativa a favor seu. On abans necessitaven temps, coneixements tècnics i certa habilitat social, ara disposen de ferramentes que automatitzen gran part del treball.
Un exemple clar són els generadors de text avançats, capaços de redactar notícies falses, correus de pesca o missatges d'extorsió en un espanyol perfecte, sense faltes d'ortografia ni girs estranys. Això incrementa enormement les possibilitats d'enganyar la víctima, ja que el correu sona a comunicació legítima d'un banc, una xarxa social o un organisme públic.
També han proliferat les eines per crear vídeos i deepfakes, que permeten superposar cares sobre altres cossos o alterar expressions i paraules en clips reals. Amb programari especialitzat, és possible generar vídeos falsos de polítics, directius o familiars que resulten molt convincents per a qualsevol que els rebi.
La clonació de veu s?ha democratitzat gràcies a models que, amb pocs minuts d?àudio real, són capaços d?imitar gairebé a la perfecció el timbre, l?accent i les pauses d?una persona. Aquests deepvoices permeten trucades telefòniques on sembla que parla un familiar, un responsable de l'empresa o el director del banc.
Un dels casos més preocupants és el de fraus econòmics utilitzant la veu clonada d'un familiar. La víctima rep una trucada d'algú que sona exactament com el fill, la parella o un parent proper, demanant una transferència urgent per una suposada emergència. Davant la pressió emocional i l'aparent autenticitat de la veu, molts acaben fent pagaments elevats a comptes controlats pels atacants.
Impacte de la IA al phishing i l'enginyeria social
L'enginyeria social, que engloba totes les tècniques dissenyades per manipular les persones i convèncer-les de fer alguna cosa que les perjudica, ha trobat a la IA generativa una aliada perillosa. Allò que abans requeria hores de recerca manual ara es pot automatitzar a gran escala.
Tradicionalment, engegar una campanya de phishing dirigida implicava investigar a fons la víctima: el seu lloc, relacions, interessos, proveïdors, etc. Això era car i lent, de manera que els atacs sofisticats eren menys freqüents. Avui la IA pot rastrar xarxes socials, fonts obertes i correus previs per construir perfils molt detallats en qüestió de minuts.
Les campanyes s'han diversificat: a més a més del correu clàssic, tenim SMSishing (missatges de text i missatgeria instantània), enganys per xarxes socials, trucades telefòniques malicioses (vishing), memòries USB “oblidades” per temptar l'usuari (baiting) o el cada vegada més comú ús de codis QR manipulats (QRishing), que redirigeixen a webs falses o instal·len codi maliciós.
Al llarg del temps, els atacants han anat refinant les tàctiques: de missatges massius molt genèrics han passat a correus hiperpersonalitzats que simulen processos interns reals, comunicacions de caps o proveïdors habituals o fins i tot cadenes de correus en curs. Aquest spear phishing representa un percentatge diminut del total de correus electrònics, però és responsable d'una part enorme de les bretxes de seguretat més greus.
A Espanya, el problema és lluny de ser marginal. El 2024 es van registrar desenes de milers d'incidents de ciberseguretat, amb un increment notable respecte a l'any anterior, i bona part té l'origen en correus o missatges fraudulents. No és casualitat que molts directius ja identifiquin un gran atac de reputació o de robatori de dades com un dels riscos principals per al seu negoci.
Limitacions, riscos i debilitats humanes
Tot i que la IA aporta millores espectaculars, no és una solució màgica ni infal·lible. Continua necessitant supervisió humana, bones dades d'entrenament i una estratègia de ciberseguretat sòlida que l'emboliqui.
Un dels punts febles històrics de la seguretat és el error humà en la configuració de sistemes. Entorns híbrids amb núvol públic i privat, sistemes heretats i noves aplicacions fan que mantenir una configuració coherent i segura sigui una tasca titànica. La IA pot ajudar identificant inconsistències, proposant ajustaments o fins i tot aplicant canvis automàtics, però sempre dins un marc de control i revisió.
La fatiga i la ineficiència humanes davant de tasques repetitives també són un problema. Configurar manualment centenars o milers d'endpoints, revisar alertes dia rere dia o comprovar logs sense descans acaba minvant la concentració de qualsevol equip. L'automatització intel·ligent permet descarregar aquestes tasques sobre els algoritmes, deixant a les persones la interpretació i les decisions complexes.
l'anomenada fatiga per alertes és un altre clàssic: massa notificacions constants acaben fent que els analistes desconnectin mentalment o se centrin només en allò més urgent, deixant sense atendre amenaces menys aparents però igual de perilloses. La IA ajuda categoritzant, agrupant esdeveniments relacionats i aplicant prioritats en funció del risc.
A més, les capacitats dels equips humans són limitades. La escassetat de professionals qualificats en ciberseguretat i IA/ML és global, i fa anys que formar persones en aquests camps. Les eines basades en IA permeten que equips reduïts gestionin entorns molt complexos, però no eliminen la necessitat de talent humà; simplement canvien el tipus de tasques que exerceix aquest talent.
Com funcionen realment la IA i el machine learning a ciberseguretat
Convé distingir diversos nivells. D'una banda hi ha la intel·ligència artificial com a disciplina àmplia, l'objectiu últim del qual seria dotar les màquines de capacitats properes a les humanes: raonament, adaptació, creativitat. Dins d'ella encaixen el machine learning i, com a subconjunt més específic, el deep learning.
A la pràctica, el que més s'utilitza avui en ciberseguretat és el aprenentatge automàtic (ML), és a dir, models que aprenen de dades històriques per fer prediccions i classificacions. Aquests models són molt bons trobant patrons, però no “entenen” realment el context igual que ho faria un humà; per aprofundir es pot consultar una guia de tecnologia.
El ML se centra en la precisió i optimització de tasques concretes: donat un conjunt de dades (per exemple, logs d'atacs passats), cerca la millor manera de distingir entre trànsit normal i maliciós. No intenta trobar la “millor solució global” al problema de la seguretat, sinó maximitzar-ne el rendiment en la tasca per a la qual s'ha entrenat.
L'aprenentatge profund (DL) porta aquesta idea més lluny amb les xarxes neuronals de moltes capes capaces de modelar relacions molt complexes. En ciberseguretat, aquestes xarxes es fan servir per classificar trànsit, detectar anomalies, analitzar codi maliciós o processar llenguatge natural en correus, missatges o informes, encara que a efectes pràctics se sol parlar de ML en general.
El valor del ML es materialitza a través de diversos tipus de processos: classificació de dades (etiquetar arxius, comportaments o esdeveniments com a benignes o maliciosos), agrupació o clustering (descobrir grups de comportament estranys sense etiquetes prèvies), recomanació de cursos dacció (proposar passos de resposta basats en decisions passades) o pronòstics predictius (estimar la probabilitat que passi un incident o que una vulnerabilitat sigui explotada).
Exemples concrets de ML en ciberseguretat
Per aterrar aquestes idees, molts fabricants i equips de recerca han demostrat com el ML multiplica la capacitat de detecció. Un cas conegut és el de grups d‟anàlisi global que utilitzen dades de xarxes de protecció repartides per tot el món per entrenar models que identifiquin noves amenaces avançades, augmentant notablement la detecció d‟atacs persistents avançats (APT).
Un ús molt estès és la classificació automàtica i el compliment de la privadesa de dades. Els algorismes etiqueten informació que conté dades personals per facilitar-ne la gestió segons el RGPD o la CCPA, permetent localitzar ràpidament tot allò relatiu a un usuari si aquest exerceix el seu dret d'accés o supressió.
Una altra aplicació habitual és la construcció de perfils de comportament d'usuaris (User Behavior Analytics), que permeten diferenciar les activitats normals d'un empleat de les que podrien indicar credencials robades o accessos interns malintencionats. Elements com les pulsacions de teclat, els horaris de connexió o els recursos consultats es converteixen en senyals per detectar intrusos.
De manera similar, es creen perfils de rendiment de sistemes per saber com s'hauria de comportar un servidor o un equip quan està “sa”. Si de sobte lús de CPU, memòria, disc o ample de banda es dispara sense explicació aparent, el sistema pot disparar alertes o fins i tot aïllar el dispositiu mentre sinvestiga.
A la defensa de llocs web i APIs, el ML s'empra per al bloqueig de bots en funció del seu comportament, distingint entre trànsit legítim procedent d'usuaris reals i onades de peticions automatitzades que intenten saturar el servei, robar continguts o provar credencials filtrades en massa, fins i tot quan intenten amagar-se darrere de VPN o proxies.
IA generativa, dades i canalització segura
L'ús intensiu de ML i IA generativa planteja, això sí, reptes importants en matèria de privadesa i seguretat del propi sistema d'IA. Per entrenar models eficaços es necessiten grans volums de dades, molts sensibles o personals, cosa que xoca amb principis com el “dret a l'oblit”.
Una de les línies de treball més prometedores consisteix a generar dades sintètiques que imiten estadísticament les reals, de manera que es puguin entrenar models sense exposar informació autèntica dusuaris. Així es preserva millor la privadesa, encara que cal vigilar biaixos i possibles reidentificacions indirectes.
Una altra prioritat és assegurar tota la canalització de la IA: des de la recollida i emmagatzematge de dades fins al desplegament del model en producció. Això implica governança de dades robusta, xifratge, control d'accessos, autenticació multifactor, auditories de codi i monitoratge continu per detectar manipulacions o usos no autoritzats.
Si un model d'IA és manipulat —per exemple, mitjançant dades enverinades—, podria deixar de detectar certes amenaces o introduir biaixos perillosos a la presa de decisions. Per això, protegir la integritat dels models i les seves dades d'entrenament ja és una part essencial de la pròpia ciberseguretat. Això és especialment rellevant en contextos com els bessons digitals.
En paral·lel, molts experts reclamen marcs regulatoris i normes específiques per a la IA en ciberseguretat, que aborden des de la responsabilitat davant d'errors fins a la transparència mínima exigible en sistemes que prenen decisions crítiques, passant pels requisits de prova i auditoria periòdica.
Eines destacades de ciberseguretat amb IA
Més enllà de les categories genèriques, hi ha solucions concretes que se n'han fet un nom gràcies al seu ús intensiu d'IA i ML en diferents fronts de la seguretat.
En l'àmbit domèstic i de petites empreses, certs productes estan pensats sobretot per usuaris de Mac i Windows, oferint protecció contra virus, amenaces de xarxa, ransomware i altres formes de malware. El seu valor diferencial sol estar en l'ús d'IA per detectar noves variants mitjançant anàlisi de comportament, proporcionant consells personalitzats adaptats a la forma d'ús de cada persona.
Al segment corporatiu, alguns fabricants han desenvolupat plataformes natives al núvol que utilitzen IA per a la detecció i resposta en endpoints. Aquestes solucions despleguen un sensor lleuger a cada dispositiu, recullen telemetria detallada i l'envien a una plataforma central on models avançats analitzen comportaments inusuals, correlacionen esdeveniments entre múltiples equips i automatitzen respostes.
Altres propostes se centren sobretot en la detecció basada en xarxa, abandonant l'enfocament clàssic de signatures. Mitjançant anàlisis contínues del trànsit, aquests sistemes detecten moviments laterals, exfiltracions i activitats de comandament i control, aprenent de manera constant per adaptar-se a nous tipus d'atacs que no estan documentats en llistes d'indicadors de compromís tradicionals.
Fins i tot han sorgit eines gratuïtes impulsades per IA especialitzades en analitzar possibles estafes. L'usuari pot pujar una captura de pantalla, un enllaç o un text sospitós, i el sistema compara el contingut amb una gran base de dades de fraus coneguts, utilitzant NLP per identificar patrons d'engany: urgències exagerades, ofertes irreals, sol·licituds de dades personals o bancàries, etc.
En tots els casos, la clau és que la IA no només reacciona davant d'amenaces conegudes, sinó que aprèn contínuament de l'entorn, ajustant la seva capacitat de detecció i reduint la dependència de llistes negres o regles rígides que es queden obsoletes molt ràpid.
Preparar-se per al futur de la IA/ML en ciberseguretat
Mirant endavant, la combinació d'IA, ML i IA generativa promet un ecosistema de seguretat molt més proactiu i automatitzat, però també un escenari on els atacants compten amb eines igualment sofisticades per impulsar les seves campanyes.
S'espera que els propers anys vegin atacs cada cop més precisos i personalitzats impulsats per IA, capaços d'esquivar moltes de les defenses tradicionals, així com un increment en l'ús d'IA per part dels defensors per a la detecció, l'anàlisi i la resposta en temps gairebé real.
Davant aquest context, organitzacions de totes les mides hauran de invertir a mantenir la seva tecnologia alineada amb el futur: actualitzar infraestructures, adoptar eines basades en IA contrastades i abandonar sistemes obsolets que suposen un risc constant dexplotació.
Alhora, és fonamental assumir que la IA ha de complementar els equips humans, no substituir-los. La creativitat, el pensament crític, la comprensió del negoci i la responsabilitat ètica continuaran sent estrictament humanes. Els professionals hauran de formar-se per entendre com treballen aquests models, com interpreten els resultats i com governar-los correctament.
Finalment, l'adaptació normativa en matèria de dades, privadesa i ús d'IA serà un component essencial. Actualitzar polítiques internes i complir amb legislacions canviants no és opcional, especialment en sectors regulats on una bretxa de seguretat pot implicar multes milionàries i un dany de reputació difícil de reparar.
Tot apunta a un futur en què la col·laboració entre humans i màquines serà la pedra angular de la defensa digital: la IA encarregant-se de la vigilància contínua, l'anàlisi massiva de dades i la primera resposta automàtica, i els equips de ciberseguretat prenent les decisions estratègiques, afinant els models i dissenyant les estratègies globals que mantinguin els sistemes fora de perill en un entorn d'amenaces en constant evolució.
