Con el creciente papel de la Inteligencia Artificial (IA) en nuestras vidas, tanto entidades como ciudadanos están comenzando a cuestionar si los riesgos asociados con esta tecnología podrían igualar o incluso superar sus beneficios. En el ámbito de la ciberseguridad, la IA puede desempeñar un papel tanto constructivo como destructivo, ya que puede contribuir a fortalecer las defensas cibernéticas, pero también puede utilizarse para evadir los sistemas de protección.
Uno de los peligros más preocupantes que plantea la IA en relación con la ciberseguridad es la posibilidad de que los ciberataques a infraestructuras críticas se vuelvan generalizados. Estas infraestructuras incluyen sistemas de generación de energía y redes eléctricas, hospitales, servicios de salud, cadenas de suministro globales, incluyendo las cadenas de suministro digitales, e incluso la propia Internet.
Chat GPT todavía no es lo suficientemente eficaz a la hora de generar respuestas con código complejo para crear un malware generado completamente por IA, pero sí que es bastante preciso a la hora de sugerir códigos y fragmentos para que los ciberatacantes puedan construir sus malwares. Desde ESET se destacan tres áreas en las que la IA generativa sí podrían tener repercusión:
Las suplantaciones de identidad están evolucionando hacia un nivel de persuasión cada vez mayor. Con el uso de grandes cantidades de datos de diversas fuentes, se combinan de manera casi perfecta para crear mensajes de correo electrónico diseñados específicamente, lo cual dificulta cada vez más la detección de señales de intenciones maliciosas en estos mensajes. Como resultado, las víctimas tienen más dificultades para no caer en este tipo de ingeniería social. Además, ya no pueden depender de errores gramaticales chapuceros como una pista para detectar intentos de phishing, ya que los mensajes podrían tener una gramática mucho más convincente.
El spear-phishing puede ser aún más convincente debido a la capacidad de construir correos electrónicos o mensajes personalizados, incluso con gatillos emocionales específicos, gracias a la ayuda de la IA. Estas capacidades se verán potenciadas por las opciones de generación de texto multilingüe, lo que permitirá operar a una escala más amplia y global. Esto resultaría especialmente útil en caso de atacar infraestructuras críticas en múltiples estados simultáneamente.
Resulta poco natural que los operadores de ransomware hablen con fluidez. Sin embargo, al implementar la capacidad de lenguaje natural de ChatGPT en estas comunicaciones, se podría reducir la carga de trabajo de los atacantes para parecer legítimos durante las negociaciones. Además, este uso también tendría el beneficio de minimizar errores, lo que permitiría a los defensores localizar las verdaderas identidades y ubicaciones de los operadores.
Adicionalmente, gracias a la creciente facilidad de generar vídeos y voz con IA, los actores maliciosos podrían ocultar su identidad de manera más efectiva al convertirse en cualquier persona. De hecho, la preocupación por la IA se ha extendido tanto en este campo que muchos profesionales ahora incluyen cláusulas en sus contratos para prohibir el uso de su trabajo con fines relacionados con la Inteligencia Artificial. Un ejemplo de esta preocupación es el polémico vídeo completamente generado por IA en el que los presidentes Biden, Trump y Obama discuten sobre un videojuego.
Con la mejora constante del lenguaje natural generado por la tecnología, los estafadores pueden parecer cada vez más convincentes. Este es solo uno de los primeros pasos para crear una estafa convincente: identificar el perfil de la víctima y tratar de ofrecer la máxima seguridad al hacerse pasar por personas cercanas a ellos.
Aunque los estafadores logren replicar con precisión la cadencia natural de una voz, los contenidos generados por IA todavía carecen de autenticidad en la actualidad. Esto significa que, a pesar de que las voces, los videos o los textos parezcan legítimos, aún pueden contener algunos errores o problemas específicos que pueden ser fácilmente identificados.
Desde ESET advierten que, a medida que la IA desempeña un papel clave en la ciberseguridad, tanto empresas como gobiernos deben adaptarse y aprovechar sus beneficios, mientras los delincuentes también buscan hacer lo mismo. Según un informe de Acumen Research and Consulting de julio de 2022, el mercado mundial de IA alcanzó los 14.900 millones de dólares en 2021 y se estima que llegará a 133.800 millones de dólares en 2030.
El creciente uso del Internet de las cosas (IoT) y dispositivos conectados abre nuevas oportunidades para la IA en servicios de seguridad basados en la nube. Las herramientas de aprendizaje automático se emplean en antivirus, prevención de pérdida de datos, detección de fraudes, gestión de identidades y accesos, sistemas de detección/prevención de intrusiones y servicios de gestión de riesgos y cumplimiento, fortaleciendo la protección.
Sin embargo, los ciberdelincuentes también pueden aprovechar la IA. Una vez desarrollada lo suficiente, podrían utilizarla para identificar patrones y debilidades en sistemas informáticos y programas de seguridad, permitiéndoles explotar estas vulnerabilidades recién descubiertas. Las infraestructuras críticas podrían convertirse en objetivos principales para los atacantes.
Con la IA siendo utilizada en ataque y defensa, los agentes de seguridad y los gobiernos deben anticipar posibles escenarios. La Unión Europea ya está evaluando los riesgos mediante la propuesta de la Ley de IA para regular su uso. Esta legislación clasifica las herramientas de IA según su nivel de riesgo, estableciendo obligaciones proporcionales para los gobiernos y empresas que las utilicen.
Quienes utilicen IA de alto riesgo deberán someterse a rigurosas evaluaciones, registrar sus actividades y proporcionar datos a las autoridades para su revisión, lo que incrementará los costos de cumplimiento para las empresas. En caso de infracciones, las multas podrían alcanzar los 30 millones de euros o el 6% de los beneficios globales de la empresa.
Además de fakes news, en internet encontramos múltiples formas de desinformación: clonación de medios de…
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las amenazas surgidas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…