El canvi de paradigma: de l'script kiddie a l'agent autònom

Durant anys, els atacs automatitzats van ser sinònim de força bruta: escànners de ports, intents massius de contrasenyes, phishing genèric enviat a milions d'adreces. Soroll. Soroll que un bon firewall i un equip atent podien filtrar.

Això s'ha acabat. Els informes de 2026 coincideixen en un canvi estructural: els atacants ja no fan servir la IA només per generar volum, la fan servir per guanyar precisió. Microsoft va observar en el seu informe d'abril de 2026 un augment del 450% en les taxes de clic en campanyes de phishing generades amb IA, perquè els esquers estan adaptats al rol, a la llengua i al context específic de cada víctima. PwC va més enllà en el seu Annual Threat Dynamics 2026 i adverteix que els atacants ja no tracten la IA com una millora, sinó com a part central del seu ofici.

La diferència és qualitativa. Una IA ofensiva moderna no llança 10.000 atacs esperant que un coli. Estudia una organització concreta, identifica l'empleat amb accés al sistema que li interessa, redacta un correu que sona exactament com la seva cap i, si obté una credencial, es mou lateralment per la xarxa sense parpellejar.

El cas FortiGate: quan la teoria es converteix en titular

La campanya CyberStrikeAI documentada el 2026 va comprometre més de 600 firewalls FortiGate en 55 països mitjançant un motor d'atac autònom que va encadenar reconeixement, robatori de credencials i moviment lateral sense intervenció humana. I el CrowdStrike Global Threat Report 2026 detalla que el 40% de les vulnerabilitats explotades per actors vinculats a la Xina es concentren en dispositius de vora: VPN, firewalls i gateways. Exactament la infraestructura que moltes empreses i administracions públiques consideren la seva última línia de defensa.

El temps mitjà de propagació d'una intrusió va baixar als 29 minuts el 2025, amb un rècord observat de 27 segons. Per a moltes organitzacions, el compromís es produeix abans que el seu procés de pedaços aprovi la primera reunió.

Per què la VPN tradicional ja no aguanta

El problema no és que les VPN estiguin mal dissenyades. El problema és que van ser dissenyades per a un món que ja no existeix: oficines fixes, empleats sedentaris, perímetres clars. Aquest món es va trencar amb el treball híbrid, i la IA ha acabat de destrossar-lo.

Tres debilitats estructurals que la IA explota

1. Ports exposats = invitació oberta

Tota VPN corporativa publica almenys un port a internet públic. Aquest port és escanejat, catalogat i atacat contínuament. Un agent de IA no necessita dormir: pot provar exploits contra cada CVE publicat poques hores després de la seva divulgació. El ThreatLabz de Zscaler va analitzar 411 CVE de VPN en cinc anys i va detectar un creixement anual del 82,5%, amb el 60% dels més recents classificats com alts o crítics.

2. Confiança implícita = zona zero del desastre

Un cop dins de la VPN, l'usuari és tractat com de confiança. Veu tota la xarxa, o almenys una part àmplia. Si un atacant roba una credencial mitjançant phishing potenciat per IA, hereta aquesta confiança. Una empresa financera a Dallas va perdre 2,3 milions de dòlars en 47 minuts a principis de 2026 per exactament aquest escenari: credencial compromesa, xarxa plana, moviment lateral sense alertes.

3. Pedaçat més lent que l'atacant

Només el 6% de les organitzacions pot desplegar un pedaç crític de VPN en menys de 24 hores. El 54% necessita una setmana o més. Quan l'atacant és un agent autònom que itera payloads en minuts, aquesta finestra és un abisme.

Zero Trust: la resposta a l'atac amb bisturí

El model Zero Trust no és una moda de màrqueting. És l'única arquitectura coherent amb el tipus d'adversari al qual ens enfrontem. La seva premissa és senzilla i radical: mai confiïs, sempre verifica. Cap usuari, cap dispositiu, cap connexió no es considera de confiança per defecte, ni tan sols si ve de dins de la xarxa.

Aplicat a l'accés remot, això significa tres canvis fonamentals:

L'usuari no entra a la xarxa, entra al recurs concret que necessita. Si el seu compte és compromès, l'atacant hereta l'accés a aquesta aplicació, no a tota la infraestructura.
No hi ha ports exposats a internet públic. Les connexions són sortints des dels recursos cap a un broker intermedi, de manera que no hi ha res per escanejar des de fora.
Cada accés es verifica de forma contínua, no només en el login inicial. Identitat, postura del dispositiu, comportament i context s'avaluen en cada petició.

Per què Zero Trust neutralitza els atacants amb IA

Un agent autònom necessita tres coses per completar el seu atac: un punt d'entrada, llibertat de moviment lateral i temps. Zero Trust els elimina tots tres.

Sense ports públics exposats, la IA no té superfície sobre la qual iterar exploits. Sense xarxa plana, una credencial robada només dóna accés a l'aplicació específica per a la qual es va emetre. I amb verificació contínua, el comportament anòmal d'un agent movent-se per la infraestructura aixeca alertes abans que completi el seu objectiu. No és casualitat que Mandiant, CrowdStrike, Microsoft, PwC i CISA convergeixin en el mateix missatge: l'única arquitectura viable davant d'atacs a velocitat de màquina és la que no exposa res a l'exterior i verifica tot des de dins.

Què significa això per a una administració pública

Els ajuntaments, diputacions i ens públics són objectius preferents. Manegen dades sensibles de ciutadans, operen sistemes crítics (padró, recaptació, serveis socials, seguretat) i solen tenir pressupostos de ciberseguretat molt inferiors als del sector privat equivalent. Un atac reeixit no només paralitza el servei al ciutadà: exposa dades protegides per normativa i genera responsabilitats legals directes.

El dilema fins ara era conegut: o es mantenia una infraestructura VPN cara i complexa amb firewalls a cada seu, o s'assumia el risc. ConnectaSec trenca aquest dilema. Una plataforma Zero Trust 100% programari, desplegable en minuts, sense maquinari addicional, sense ports exposats, amb control granular per usuari i servei, i amb logs auditables durant 365 dies per a compliment normatiu i anàlisi forense.

El que canvia quan l'arquitectura canvia

El tècnic que avui dedica hores a gestionar regles de firewall i certificats SSL VPN pot centrar-se en projectes de valor.
L'empleat que teletreballa es connecta amb un clic, sense clients VPN lents ni reconnexions constants.
El responsable de seguretat té visibilitat real de qui accedeix a què i des d'on, en temps real.
El pressupost deixa de créixer amb cada seu nova, cada renovació de maquinari, cada ampliació de llicències.

Conclusió: la pregunta no és si, és quan

La IA ofensiva no és una previsió per al 2028, ni un escenari de simulació. Ja està operant, ja està tancant la finestra de resposta a segons, i ja està atacant específicament la infraestructura d'accés remot tradicional. Mantenir una VPN el 2026 no és conservadorisme: és una decisió activa d'assumir un risc que creix cada mes.

Zero Trust no és el futur de la ciberseguretat. És el present. I cada setmana que una organització endarrereix la transició és una setmana d'avantatge regalada a qui té un agent autònom apuntant a la seva xarxa.

ConnectaSec posa aquesta arquitectura a l'abast de qualsevol organització, sense maquinari, sense complexitat, sense VPN. Comença avui amb una prova pilot gratuïta a www.connectasec.com.

Fonts: Microsoft Security Blog (abril 2026), PwC Annual Threat Dynamics 2026, CrowdStrike Global Threat Report 2026, Zscaler ThreatLabz 2026 VPN Risk Report, Mandiant M-Trends 2026, Foresiet AI Inversion Report 2026.