El crecimiento de la IA generativa está generando nuevos tipos de ataques y defensa de los activos. ¿Cuáles amenazas son veraces y cuáles son espejismos?

Desde el momento en que las aplicaciones de IA generativa llegaron al mercado, cambió el ritmo de los negocios, no sólo para los equipos de seguridad, sino también para los cibercriminales. Hoy, no abrazar las innovaciones de la IA puede significar caer detrás de la competencia y poner la ciberdefensa en desventaja frente a los ciberataques que sí la usan. Pero al discutir el impacto de la IA en el cibercrimen, es importante que veamos las cosas a través de una lente pragmática y aterrizada para no alimentarnos con el ‘hype’ que se parece más a la ciencia ficción. 

Hoy, los avances y la madurez de la IA señalan un salto significativo para la seguridad de las empresas. Los ciberdelincuentes no pueden igualar fácilmente el tamaño y la escala de los recursos, habilidades y motivación de las empresas, lo que les hace más difícil mantenerse al día con la velocidad actual de la innovación de IA. De hecho, la inversión global privada en IA alcanzó los $93.5 mil millones en 2021, capital que los cibercriminales no tienen. Tampoco tienen la mano de obra, la potencia informática, y las innovaciones que permiten a las empresas más tiempo y oportunidad de fallar rápido, aprender rápido, y hacerlo bien.

Sin embargo, no se equivoquen: el cibercrimen se pondrá al día. Esta no es la primera vez que la industria de la seguridad tiene una breve ventaja. Por ejemplo, cuando el ransomware comenzó a impulsar a más defensores a adoptar tecnologías de detección y respuesta de puntos finales, los atacantes necesitaron tiempo para averiguar cómo sortear y evadir las detecciones. Ese "período de gracia" interino dio tiempo a las empresas para protegerse mejor. Lo mismo se aplica ahora: Las empresas necesitan maximizar su liderazgo en la carrera de la IA, avanzar en sus capacidades de detección y respuesta de amenazas y aprovechar la velocidad y precisión que las innovaciones actuales de la IA les ofrecen. 

Entonces, ¿cómo está cambiando la ciberdelincuencia? Bueno, no cambiará sustancialmente en el corto plazo, pero escalará en ciertas instancias. ¿Dónde impactará el uso malintencionado de la IA?

Campañas de malware totalmente automatizadas: mito

Recientemente hemos visto afirmaciones sobre varios casos de uso malicioso de la IA, pero solo porque un escenario es posible no lo hace probable. En las campañas de malware totalmente automatizadas, la lógica dice que se puede aprovechar la IA para lograr ese resultado, pero si las empresas tecnológicas líderes aún no han sido pioneras en ciclos de desarrollo de software totalmente automatizados, es poco probable que los ciberdelincuentes con limitaciones financieras lo logren antes. Incluso la automatización parcial permite que la ciberdelincuencia escale; sin embargo, es una táctica que ya hemos visto en las Campañas de Bazar. Esto no es una innovación, sino una técnica probada y verdadera que ya se aplica.  

Phishing creado por IA: realidad (pero el contexto es clave) Tanto el phishing hecho por humanos como el phishing generado por IA, siguen buscando un clic y requieren la misma capacidad de detección y respuesta. No obstante, la IA actúa como multiplicador para escalar campañas de phishing, por lo que, si una empresa está viendo un pico e-mails de phishing, hay un alto potencial de clics y compromisos. Los modelos de IA también pueden aumentar la eficacia, ayudando a los atacantes a determinar quién es el objetivo más susceptible para alcanzar un mayor ROI. Los ataques de phishing están entre las tácticas más exitosas, enfatizando el papel crítico de las tecnologías EDR, MDR, XDR e IAM en la detección del comportamiento anómalo antes de que logren el impacto. 

Ataques de envenenamiento por IA: más o menos mito

Los ataques de envenenamiento a la IA , en otras palabras, la manipulación programática del código y los datos sobre los que se construyen los modelos de IA puede ser el ‘santo grial’ de los ciberataques. ¿Por qué? Porque al envenenar el modelo, un atacante puede hacer que se comporte o funcione de la manera que quiera, y no es fácilmente detectable. Sin embargo, estos ataques no son fáciles de realizar, requieren acceso a los datos con los que se está entrenando el modelo de IA en el momento del entrenamiento y eso no es una hazaña pequeña. A medida que más modelos se conviertan en fuente abierta, el riesgo de estos ataques aumentará pero seguirá siendo bajo por el momento. 

Lo que aún no se sabe

Aunque es importante separar el hype de la realidad, también es clave hacer las preguntas correctas sobre el impacto de la IA en el panorama de amenazas. Hay muchas incógnitas con respecto al potencial de la IA que no debemos pasar por alto, por ejemplo, la forma en que pueden cambiar los objetivos de los ciberatacantes es una, pues todavía se desconoce cómo su intuición puede ayudarles a servir nuevos propósitos y recalibrar sus motivos. 

Es posible que no veamos un repunte inmediato en los nuevos ataques habilitados por la IA, pero el escalado de la ciberdelincuencia gracias a la IA tendrá un impacto sustancial en las organizaciones que no están preparadas. La velocidad y la escala son características intrínsecas de la IA, y así como los defensores están buscando beneficiarse de ella, también los atacantes. Los equipos de seguridad ya están desprovistos de personal y abrumados: ver un aumento en el tráfico malicioso o en la respuesta a incidentes supone un peso sustancial añadido a su carga de trabajo.

Esto reafirma más que nunca la necesidad de que las empresas inviertan en sus defensas, utilicen IA para impulsar la velocidad y la precisión de sus capacidades de detección y respuesta de amenazas. Las empresas que aprovechen este "período de gracia" se encontrarán mucho más preparadas y resilientes para el día en que los atacantes realmente se pongan al día en la cibercarrera de la IA.