Es hora de sustituir los enfoques tradicionales de la ciberseguridad por tecnología y formación “más inteligentes” para poder enfrentar a la IA.
Durante los últimos años, los ciberdelincuentes han estado utilizando la inteligencia artificial (IA) para piratear los sistemas corporativos y perturbar las operaciones empresariales.
Pero las nuevas y potentes herramientas de IA generativa, como ChatGPT, plantean nuevos retos a los directivos de las empresas.
Roboleyes: Principios de responsabilidad algorítmica en la Inteligencia Artificial
Estos escenarios pueden sonar demasiado familiares para aquellos que han estado prestando atención a las historias de deepfakes causando estragos en las redes sociales. Pero la naturaleza de las nuevas amenazas pertenece a una categoría diferente, más aterradora, porque la tecnología subyacente se ha vuelto “más inteligente”.
Criptomonedas y delitos cibernéticos, ¿es seguro usar monedas virtuales?
Hasta ahora, la mayoría de los ataques utilizaban métodos relativamente poco sofisticados y de gran volumen. Imagínate una horda de zombis: millones de amenazas persistentes pero descerebradas que sólo tienen éxito cuando encuentran un punto débil en una defensa.
Por el contrario, las amenazas más sofisticadas, como los grandes robos y fraudes, han sido ataques de menor volumen que normalmente requieren la participación humana real para tener éxito.
Se parecen más a los ladrones de gatos, que examinan sistemáticamente cada elemento de un edificio y sus sistemas de alarma hasta que pueden idear una forma de burlar las protecciones. O son como los estafadores, que pueden construir una historia de fondo e hilar mentiras de forma tan convincente que incluso las personas inteligentes son persuadidas.
Ahora imagina que los zombis se vuelven más inteligentes. Gracias a la IA generativa, cada uno de ellos se convierte en un ladrón capaz de entender el diseño de tus sistemas de seguridad e ingeniárselas para burlarlos. O imagina que un estafador utiliza la IA generativa para interactuar con uno de tus empleados, generar confianza y embaucarlo para que caiga en la estafa.
Esta nueva era de malware basado en IA significa que las empresas ya no pueden utilizar las mejores prácticas que podían haber sido eficaces hace unos meses.
La defensa en profundidad (la estrategia de instalar las políticas de seguridad adecuadas o implementar las mejores herramientas técnicas de prevención y detección) ya no será suficiente. Ha llegado una nueva era.
Utilizando combinaciones de texto, voz, gráficos y vídeo, la IA generativa dará rienda suelta a innovaciones desconocidas e incognoscibles en la piratería informática. Las defensas eficaces contra estas amenazas aún no pueden automatizarse. Significa que tu empresa tendrá que pasar de la adquisición de herramientas y el establecimiento de enfoques basados en reglas al desarrollo de una estrategia que se adapte a las amenazas de nuevo nivel generadas por la IA en tiempo real. Esto requerirá tanto tecnología como empleados más inteligentes.
Las empresas deben utilizar la IA generativa tanto para reforzar sus capacidades defensivas como para acelerar su capacidad de respuesta a las nuevas amenazas en tiempo real.
En primer lugar, considera las defensas perimetrales de una empresa. Las empresas ya utilizan bases de datos de malware para detectar nuevas amenazas. Estas bases de datos de firmas de malware son actualizadas constantemente por los proveedores, pero no están adaptadas a la situación única de cada empresa.
Antes, los piratas informáticos utilizaban exploits de talla única (formas de entrar en los sistemas de una empresa). Ahora utilizarán la IA para adaptar sus exploits a las vulnerabilidades de cada empresa.
Los correos electrónicos engañosos presionarán en los puntos de presión adecuados. También serán muy creíbles porque el lenguaje basado en IA de los nuevos ataques de phishing utilizará información pública para adaptar cada mensaje a la empresa objetivo. Así, en lugar de descartar inmediatamente un correo electrónico como fraudulento, es más probable que incluso los empleados más avispados vean suficientes detalles como para convencerse de su legitimidad.
El extraño caso de la Inteligencia Artificial: Beneficios y riesgos inminentes
OpenAI (creador de ChatGPT) y otras empresas están lanzando herramientas como GPTZero y ZeroGPT que permitirán a las empresas detectar si un texto ha sido producido por IA generativa.
Al integrar estas herramientas en los servidores de correo, las empresas pueden mejorar la probabilidad de bloquear los mensajes de phishing automatizados de nivel siguiente.
Estas herramientas deben adaptarse a las necesidades de cada empresa y ajustarse con frecuencia para mantener la vigilancia. Del mismo modo que un guardián humano inteligente necesita estar al día de las últimas amenazas.
Con el tiempo, los proveedores de herramientas de seguridad incorporarán estas tecnologías, pero mientras tanto, muchas empresas corren el riesgo de sufrir importantes pérdidas financieras. Por lo tanto, es importante plantearse realizar cambios internos a corto plazo en lugar de esperar a que las soluciones disponibles en el mercado se pongan al día.
En segundo lugar, la detección en tiempo real tiene que mejorar, y rápido. Muchas empresas confían en la detección de patrones para repeler los ataques. El problema es que los patrones se basan en ataques que ya se han producido. Para contrarrestar los ataques impulsados por la IA generativa, se necesita una nueva era de prevención “inteligente“.
La IA generativa tiene el potencial de mejorar la capacidad de las empresas para detectar rápidamente anomalías en comportamientos por parte de los colaboradores.
Los comportamientos de los empleados tienden a ser predecibles día a día, coincidiendo con sus tareas laborales. Esto puede considerarse su huella de comportamiento.
Si la huella cambia repentinamente sin que cambie la descripción de su trabajo, podría ser señal, por ejemplo, de un posible intento de pirateo o de un mal comportamiento interno. Mediante el uso de IA generativa, las empresas pueden identificar el alcance de los daños o determinar que no se ha producido ninguna infracción.
Ya se han anunciado nuevas extensiones y aplicaciones de terceros creadas sobre la base de GPT-4, por lo que es de esperar que pronto estén disponibles nuevas herramientas de seguridad basadas en IA.
El comportamiento humano consciente de la seguridad sigue siendo fundamental para la ciberseguridad, pero la gente sigue cometiendo errores.
Aprende de ciberseguridad jugando, así es la gamificación
Muchas campañas de concienciación describen las amenazas existentes y ofrecen una serie de normas a seguir:
Numerosas encuestas anuales del sector han identificado a los empleados como el eslabón más débil. Los colaboradores de los centros de atención telefónica, por ejemplo, pueden ser engañados por personas que disponen de la información suficiente. Según una estimación, hasta el 82% de las infracciones tienen que ver con el comportamiento humano.
En la era de la IA generativa, la formación de concienciación debe pasar de las políticas que imponen comportamientos a una preparación basada en el conocimiento que permita detectar nuevas amenazas.
Es decir, los colaboradores deben saber lo suficiente sobre crímenes informáticos para pasar de ser seguidores de las normas a defensores activos. Con la llegada de las herramientas de IA generativa, las políticas tradicionales de seguridad han dejado de ser útiles. Un enfoque basado en reglas ya no es adecuado.
Los conductores de camiones no pueden mantener la seguridad simplemente siguiendo las leyes de tráfico; también necesitan adaptarse a las condiciones de la carretera.
Del mismo modo, los empleados deben aplicar el conocimiento de la situación para resistir los nuevos retos de ciberseguridad de la IA generativa. Esto requiere que las empresas vayan más allá de la formación de las personas sobre qué hacer y qué no hacer. También necesitan ayudarles a entender cómo mantenerse seguros en un nuevo mundo muy desafiante.
Las empresas tienen que pasar de una estrategia basada en el cumplimiento a otra en la que se desarrollen nuevas habilidades de los trabajadores. Esto puede requerir formación impartida por un instructor para desarrollar conocimientos que superen las políticas tradicionales basadas en normas.
La formación actual de talla única, aunque vaya seguida de un cuestionario, es pasiva. La era de la IA requiere una formación que sintonice a los empleados con escenarios reales o potenciales e incluya debates en directo sobre cómo responder.
Más allá de jugar a la defensiva mediante la formación de concienciación de los empleados, las empresas necesitan seguir la sabiduría de Sun Tzu de que “la defensa es la planificación de un ataque“.
Los virus informáticos más letales que ha enfrentado la humanidad
Imagina el peor de los casos; piense en lo impensable. Utiliza modelos basados en IA para hipotetizar posibles vectores de amenaza o desencadenantes a los que prestar atención. Una estrategia: Forma un equipo SWAT con sus mejores informáticos para hacer una lluvia de ideas sobre cómo los malos actores podrían penetrar tus defensas.
A continuación, busca formas de mejorar sus capacidades técnicas y la concienciación de los empleados en torno a este tipo de eventos. Una encuesta reveló que las empresas están abandonando el enfoque tradicional de juegos de guerra cibernéticos de ataque y defensa.
En lugar de eso, han adoptado en su lugar un enfoque más colaborativo de “equipo púrpura”. Eso para comprender mejor los métodos de ataque emergentes y aprender lo que funciona y lo que no.
Es probable que la mejor defensa contra los hackeos impulsados por la IA sea la informada por la IA. Esto significa no sólo estrategias de defensa más rápidas y sólidas, sino estrategias realmente más inteligentes para su tecnología y su personal.
No vencerás a los zombis inteligentes poniendo las vallas más altas. Pero puedes aumentar sus defensas tradicionales con nuevas herramientas impulsadas por IA. En el nuevo y aterrador mundo del HackGPT, deberías ponerte manos a la obra ya para mantener tu empresa a salvo y segura.
Karen Renaud es científica informática en la Universidad de Strathclyde, en Glasgow, y trabaja en todos los aspectos de la seguridad y la privacidad centradas en el ser humano. Merrill Warkentin, científico distinguido de la ACM, es catedrático distinguido W.L. Giles. George Westerman es profesor titular en la Sloan School of Management del MIT. Los autores se enumeran aquí por orden alfabético; todos los autores han contribuido por igual a este artículo.