Cinco maneras en las que los delincuentes utilizan la inteligencia artificial generativa para liberar un ataque.
En este mes de octubre, dedicado a la concientización de la ciberseguridad, es importante reflexionar sobre los riesgos que conlleva la IA generativa (un tipo de inteligencia artificial que puede crear nuevos contenidos e ideas, como conversaciones, historias, imágenes, videos, música, etc.).
La IA está revolucionando muchas industrias alrededor del mundo, pero al mismo tiempo está siendo aprovechada por el cibercrimen, por lo que la frecuencia y el volumen de los ciberataques están aumentando. Es tal su impacto que el 75% de los profesionales de la seguridad ya ha sido testigo de un aumento de ataques en los últimos 12 meses, tan solo el 85% atribuye este aumento a la IA generativa.
A partir de su disponibilidad masiva con las plataformas ChatGPT, creada por OpenAI, y Bard, por Google, los actores de amenazas no han dejado escapar esta oportunidad y la han aprovechado para sus fines maliciosos. Consciente de los peligros que esto representa a nivel mundial, el Consejo de Seguridad de la Organización de las Naciones Unidas (ONU) llevó a cabo a mediados de este año la primera reunión en torno a los riesgos que la IA supone para la seguridad y la paz mundial.
De acuerdo con la consultora Statista, América Latina se está tomando muy en serio la inteligencia artificial, no en vano, el porcentaje de empresas que están explorando todas las posibilidades de esta tecnología es superior a la media mundial, que se sitúa en el 42%. Sin embargo, a nivel de implementación, aún se encuentra cinco puntos porcentuales por debajo de la tasa global.
Al respecto, Patricio Villacura, Especialista de Seguridad Empresarial para Akamai, opinó que los ciberataques con inteligencia artificial seguirán en ascenso, ya que están haciendo uso de la tecnología IA generativa para lanzar ciberataques que aseguren una mayor eficiencia y efectividad. “El impacto de la IA generativa es tan amplio que incluso las redes neuronales que la sustentan, al estar en permanente estudio de la forma de expresarse de una persona en particular, pueden generar contenido falso con una tendencia política, religiosa, o ideológica. Desde luego, no siendo escrito o autorizado por la persona en cuestión”.
A continuación, el directivo explicó otras cinco maneras en las que la inteligencia artificial generativa se utiliza para liberar un ataque:
1) Phishing mejorado: Los atacantes pueden utilizar la IA generativa para generar correos electrónicos y mensajes de texto personalizados que parezcan legítimos, con el fin de engañar a los usuarios para que hagan clic en enlaces maliciosos o descarguen archivos infectados. La IA puede imitar el estilo de escritura de la víctima o de alguien de confianza para hacer que el correo electrónico sea aún más creíble.
2) Ataques de ingeniería social: los atacantes pueden utilizar la inteligencia artificial generativa para crear perfiles falsos en las redes sociales o en plataformas de mensajería, que parezcan auténticos y que interactúen con las personas de manera convincente, procurando ganarse la confianza de las víctimas y obtener información personal o acceso a sistemas sensibles.
3) Automatización de vulneraciones: el ciberdelincuente también está incorporando la IA generativa para automatizar tareas en ataques cibernéticos, como escanear sistemas en busca de vulnerabilidades, realizar ataques de fuerza bruta o propagar malware de manera más eficiente.
4) Detección y evasión de seguridad: los actores de amenazas son capaces de detectar y evadir sistemas de seguridad, identificando debilidades en las defensas y adaptándose a las medidas de seguridad en tiempo real.
5) Ataques tipo BEC (Business Email Compromise): por medio del cual los algoritmos de IA generativa pueden aprender de Twitter, Facebook, Instagram, etcétera, aplicaciones de chat o incluso plataformas de streaming como YouTube. Las características particulares de expresarse de una persona y crear un correo electrónico que busque estafar, haciéndose pasar por una persona en particular que al introducir ciertos rasgos de escritura y expresión propios de esa persona no levante sospechas, pues ese contenido fue creado vía IA generativa.
“Será muy posible que incluso los contenidos falsos puedan incorporar expresiones propias de la nacionalidad de una persona como por ejemplo aforismos o frases típicas, incluso formas particulares y propias de expresión que no hagan sospechar que se trata de un ataque de ingeniería social. Incluso secuestros como los famosos “cuentos del tío” (generalmente este tipo de estafa se lleva a cabo en Argentina, Chile, Uruguay y Bolivia) que puedan reproducir las tonalidades e inflexiones de voz de un familiar supuestamente secuestrado”, dijo Patricio Villacura.
La IA generativa es una realidad y llegó para quedarse, solo es necesario adaptarse e incorporar ciertas conductas que a la larga son higiénicas y de autocuidado, destacó el directivo, quien adicionalmente hizo hincapié en las siguientes recomendaciones:
1. Ser muy cuidadoso y selectivo en la publicación de información que pueda ser sensible, personal o estados que puedan ser utilizados por IA generativa para reconstruir perfiles de una persona (una foto, una geolocalización, una frase, etcétera).
2. Validar las fuentes, una y otra vez, a fin de evitar el contenido malintencionado que pueda ser confeccionado por la IA generativa.
3. Si se recibe un email o una llamada que nos pida hacer algo fuera de lo normal, hacer una doble verificación, quizás contactando a la fuente directa y validando lo que piden hacer o haciendo preguntas quizás de una índole más personal (¿me recuerdas el color del primer auto que tuviste?).
Por último, Patricio Villacura dijo que todas estas recomendaciones son las aplicaciones prácticas de una conducta Zero Trust (Confianza Cero), “ porque lo primero que necesitamos hacer es desconfiar del contenido y del origen, y posteriormente hacer las validaciones de rigor”, concluyó.