Guillem Alsina Gonzàlez
En un ejercicio que, por ahora, es meramente teórico, la experta india en ciberseguridad Er. Kritika, explica en el blog de ISACA (Asociación de Auditoría y Control de Sistemas de Información, por sus siglas en inglés, organización que fomenta el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información, incluido el ámbito de la ciberseguridad) lo que se define como neurophishing, y que podemos explicar rápidamente como el uso de los datos biométricos en tiempo real, combinado con la inteligencia artificial, para permitir a los ciberdelincuentes modificar en tiempo real las tretas de phishing para aplicar la máxima presión psicológica en la víctima.
El texto de Kritika sitúa la transición del phishing tradicional al neurophishing como una evolución que aprovecha los modelos de lenguaje de IA generativa y señales psicofisiológicas para influir en tiempo real en las decisiones de la víctima, aunque es algo que, al menos por el momento, se encuentra en una fase teórica, habida cuenta de que no hay casos documentados de uso de neurophishing para realizar un ciberataque, lo que no excluye tampoco la posibilidad de que técnicas relativas a dicha práctica hayan sido utilizadas (sólo que todavía no lo sabemos).
Hasta hace un tiempo, el phishing era, en muchos casos, fácilmente identificable gracias a mensajes de correo que contenían errores mayúsculos, o urgencias mal disimuladas. Pero, a día de hoy y gracias a la IA, los atacantes pueden obtener un producto de alta calidad e, incluso, vídeos deepfake muy buenos con los que impersonan a los ejecutivos de una empresa para crear mensajes más creíbles. El texto también cita que proveedores de seguridad están registrando ritmos crecientes de intentos automatizados de ciberataque.
Un ataque de neurophishing observa la reacción de la víctima en varios parámetros biométricos para ajustar la presión psicológica sobre ella en tiempo real, pasando de ser un cebo estático para pasar a constituir un bucle de retroalimentación cognitiva que convierte al usuario en un objetivo interactivo.
Por ejemplo, una forma de leer el ritmo cardíaco de la víctima para saber si se ha alterado y hasta que punto, es hackear la pulsera de actividad o smartwatch que vista. La interferencia de la webcam para poder ver imágenes en tiempo real de dicha persona ante su ordenador, permite que una IA interprete rápidamente los microgestos que lleva a cabo de forma involuntaria y, con ello, sepa en qué punto de estrés puede encontrarse.
A partir del conocimiento de estos parámetros, se pueden mandar correos electrónicos, mensajes de SMS, o incluso simular una llamada telefónica de un superior mediante una voz manipulada por IA.
Igualmente, el análisis del movimiento del puntero del ratón, se puede llevar a cabo fácilmente mediante una extensión del navegador instalada de manera subrepticia, de la misma manera que se pueden analizar las pulsaciones del teclado.
El artículo encuadra esta práctica en una convergencia entre inteligencia artificial, ciencia del comportamiento y neurotecnología.
Las implicaciones de esta práctica (recordemos que, por el momento, meramente teórica) trascienden el ámbito corporativo y alcanzan la seguridad nacional, subraya el texto, al introducir el concepto de “soberanía cognitiva” como prioridad estratégica. Se advierte de riesgos para la integridad de procesos electorales, la cohesión social y la estabilidad de las comunicaciones de defensa y relaciones diplomáticas.
El problema que esto puede generar se agrava por la escasez de estándares o políticas globales específicamente orientadas a la manipulación psicológica en línea, y por la naturaleza transfronteriza de estos ataques, que no respetan límites físicos ni digitales tradicionales.
Su detección y atribución resultan especialmente complejas, ya que no implican necesariamente código malicioso ni dejar trazas técnicas evidentes, con lo que no son detectables por los controles de ciberseguridad centrados en la integridad de datos o el acceso. Los efectos residuales son cognitivos y no auditables y, además, evolucionan de forma constante, lo que dificulta demostrar intencionalidad maliciosa.
Como hoja de ruta, la autora propone avanzar hacia un “cortafuegos cognitivo” que combine ética de la IA, alfabetización digital, neurociencia y psicología del comportamiento. Este enfoque multidisciplinar busca identificar señales de manipulación emocional, concienciar a los usuarios sobre sus vulnerabilidades cognitivas y fijar pautas sobre cómo deben influir las tecnologías de la IA en el comportamiento.
En el texto, también reclama cooperación entre empresas tecnológicas, administraciones y expertos para establecer marcos que protejan la libertad de pensamiento y, en paralelo, un debate internacional que regule el uso de neurotecnologías y evite su instrumentalización en campañas de influencia o conflicto psicológico.
La conclusión es clara: la ciberseguridad deberá ampliar su perímetro desde dispositivos y datos hasta la mente humana, con la soberanía cognitiva como nuevo eje estratégico.
