Como dice la vieja expresión, “la prisa mata”, y el mundo de la ciberseguridad no es diferente. Los ciberataques basados en inteligencia artificial (IA) permiten a los hackers penetrar en las redes y encontrar activos de datos críticos antes de que los analistas de seguridad puedan detectarlos.
Por desgracia, los ataques impulsados por la IA no son un invento de ciencia ficción, sino una realidad a la que los equipos de seguridad se enfrentan a diario.
Por ejemplo, la adopción generalizada de herramientas de IA generativa, como ChatGPT y Bard, parece haber provocado un aumento espectacular de los ataques de phishing. Un informe elaborado por el proveedor de ciberseguridad SlashNext descubrió que se ha producido un aumento del 1.265% en los correos electrónicos maliciosos de phishing desde el lanzamiento de ChatGPT.
El estado de la IA en los ciberataques en 2024
Durante años, los defensores han debatido sobre cómo se puede utilizar la IA en los ciberataques, y el rápido desarrollo de grandes modelos de lenguaje (LLM) ha aumentado la preocupación por los riesgos que presenta.
En marzo de 2023, la ansiedad por los ataques automatizados era tan grande que Europol emitió una advertencia sobre el uso delictivo de ChatGPT y otros LLM. Mientras tanto, el director de ciberseguridad de la NSA, Rob Joyce, advirtió a las empresas de que se “abrocharan el cinturón” ante el armamento de la IA generativa.
Desde entonces, la actividad de las amenazas ha ido en aumento. Un estudio, publicado por Deep Instinct, encuestó a más de 650 profesionales de operaciones de seguridad de alto nivel en EE.UU., incluidos CISO y CIO, y descubrió que el 75% de los profesionales fueron testigos de un aumento de los ataques en los últimos 12 meses.
Además, el 85% de los encuestados atribuyó este aumento a los malos actores que utilizan IA generativa.
Si identificamos 2023 como el año en que los ciberataques dirigidos por IA generativa pasaron de ser un riesgo teórico a activo, entonces 2024 es el año en que las organizaciones deben estar preparadas para adaptarse a ellos a escala. El primer paso para ello es comprender cómo utilizan los hackers estas herramientas.
Cómo puede utilizarse la IA generativa para el mal
Hay varias maneras en que los actores de amenazas pueden explotar los LLM, desde la generación de correos electrónicos de phishing y estafas de ingeniería social hasta la generación de código malicioso, malware y ransomware.
Mir Kashifuddin, responsable de privacidad y riesgo de datos de PwC US, declaró a Techopedia:
“La accesibilidad de GenAI ha reducido la barrera de entrada para que los actores de amenazas la aprovechen con fines maliciosos”. Según la última encuesta Global Digital Trust Insights de PwC, el 52% de los ejecutivos afirman que esperan que GenAI provoque un ciberataque catastrófico en el próximo año.
“No solo les permite identificar y analizar rápidamente la explotabilidad de sus objetivos, sino que también permite aumentar la escala y el volumen de los ataques. Por ejemplo, el uso de GenAI para clasificar rápidamente en masa un ataque de phishing básico es fácil para los adversarios identificar y atrapar a individuos susceptibles.”
Los ataques de phishing están muy extendidos para los atacantes porque deben hacer jailbreak a un LLM legítimo o utilizar un LLM oscuro construido a propósito como WormGPT para generar un correo electrónico lo suficientemente convincente como para engañar a un empleado para que visite un sitio web comprometido o descargue un archivo adjunto de malware.
Utilizar la IA para el bien
A medida que aumenta la preocupación por las amenazas generadas por IA, más organizaciones buscan invertir en automatización para protegerse contra la próxima generación de ataques rápidos.
Según un estudio de la Security Industry Association (SIA), el 93% de los responsables de seguridad espera que la IA generativa afecte a sus estrategias empresariales en los próximos cinco años, y el 89% tiene proyectos de IA activos en sus líneas de investigación y desarrollo (I+D).
En el futuro, la IA será una parte integral de la ciberseguridad empresarial. Así lo demuestra un estudio de Zipdo, según el cual el 69% de las empresas creen que no pueden responder a amenazas críticas sin IA.
Después de todo, si los ciberdelincuentes pueden crear estafas de phishing a gran escala mediante modelos lingüísticos, los defensores necesitan aumentar su capacidad para defenderse contra ellas, ya que confiar en que los usuarios humanos detecten las estafas cada vez que se encuentran con ellas simplemente no es sostenible a largo plazo.
Al mismo tiempo, más organizaciones están invirtiendo en IA defensiva porque estas soluciones ofrecen a los equipos de seguridad una forma de reducir el tiempo necesario para identificar y responder a las violaciones de datos, al tiempo que liberan la administración manual necesaria para que funcione un centro de operaciones de seguridad (SOC).
Las organizaciones no pueden permitirse supervisar y analizar manualmente los datos sobre amenazas en sus entornos sin la ayuda de herramientas automatizadas porque es demasiado lento, sobre todo si se tiene en cuenta que hay un déficit de 4 millones de trabajadores en ciberseguridad.
Parte de estas defensas pueden implicar el uso de IA generativa para cribar las señales de amenaza, uno de los valores fundamentales de los productos de seguridad basados en LLM lanzados por proveedores como Microsoft, Google y SentinelOne.
El papel de los LLM en el mercado de la ciberseguridad
Uno de los avances más significativos en la IA de ciberseguridad se produjo el pasado mes de abril, cuando Google anunció el lanzamiento de SEC-PaLM, un LLM diseñado específicamente para su uso en ciberseguridad, que puede procesar datos de inteligencia sobre amenazas para ofrecer capacidades de detección y análisis.
Este lanzamiento dio lugar al desarrollo de dos interesantes herramientas: VirusTotal Code Insight, que puede analizar y explicar el comportamiento de scripts para ayudar a los usuarios a identificar scripts maliciosos, y Breach Analytics for Chronicle, que alerta automáticamente a los usuarios sobre brechas activas en el entorno junto con información contextual para que puedan hacer un seguimiento.
Del mismo modo, Microsoft Security Copilot utiliza GPT4 para procesar las señales de amenaza tomadas de una red y genera un resumen escrito de la actividad potencialmente maliciosa para que los usuarios humanos puedan investigar más a fondo.
Aunque sólo se trata de dos productos que utilizan LLM en un contexto de seguridad, en términos más generales ponen de relieve el papel que deben desempeñar en el panorama defensivo como herramienta para reducir las cargas administrativas y mejorar la comprensión contextual de las amenazas activas.
Conclusión
Si la IA es positiva o negativa para el panorama de las amenazas, dependerá de quién lo haga mejor: los atacantes o los defensores.
Supongamos que los defensores no están preparados para un aumento de los ciberataques automatizados en el futuro. En ese caso, serán vulnerables a la explotación. Sin embargo, las organizaciones que adoptan estas tecnologías para optimizar sus SOC no sólo tienen la opción de evitar estas amenazas, sino que también pueden automatizar el trabajo manual menos gratificante del proceso.