Lo que comenzó como entusiasmo por las capacidades de la IA generativa se convirtió rápidamente en preocupación.
Inteligencia Articial en el campo de la Ciberseguridad
Las herramientas de IA generativa como ChatGPT, Google Bard, Dall-E, etc. continúan en los titulares debido a problemas de seguridad y privacidad; incluso llevan a cuestionar qué es real y qué no.
El campo de batalla
La IA generativa puede generar contenido altamente plausible y por lo tanto, convincente. Tanto es así, que al final de un segmento reciente de 60 Minutos hablando sobre IA, el presentador Scott Pelley dejó a los espectadores con esta declaración:
“Terminaremos con una nota que nunca apareció en estos 60 Minutes: El anterior contenido, fue creada completamente por humanos”.
La guerra cibernética de IA generativa comienza con este contenido convincente y de la vida real y el campo de batalla es donde los piratas informáticos aprovechan la IA generativa, utilizando herramientas como ChatGPT, etc en su beneficio.
Gracias a la IA es extremadamente fácil para los ciberdelincuentes, especialmente aquellos con recursos limitados y cero conocimiento técnico, el poder llevar a cabo sus delitos mediante ataques de ingeniería social, phishing o suplantación de identidad.
La amenaza
La IA generativa tiene el poder de impulsar ciberataques cada vez más sofisticados.
Debido a que la tecnología puede producir contenido tan convincente y similar al humano con facilidad, las nuevas estafas cibernéticas que aprovechan la IA son más difíciles de detectar para los equipos de seguridad.
Las estafas generadas por IA pueden presentarse en forma de ataques de ingeniería social, como ataques de phishing multicanal realizados a través de aplicaciones de mensajería y correo electrónico.
Un ejemplo del mundo real, puede ser un correo electrónico o un mensaje que contenga un documento que se envíe a un ejecutivo corporativo desde un proveedor externo a través de Outlook (correo electrónico) o Slack (aplicación de mensajería).
El correo electrónico o mensaje indica que hagan clic en él para ver una factura. Con la IA generativa, puede ser casi imposible distinguir entre un correo electrónico o mensaje falso y real. Por eso, puede llegar a ser realmente tan peligroso.
Sin embargo, uno de los ejemplos más alarmantes es que con la IA generativa, los ciberdelincuentes pueden producir ataques en varios idiomas, independientemente de si el hacker realmente habla ese idioma o no.
La creación de redes de bots en multi-idiomas se volverá más sencilla que nunca y los ciberdelincuentes, pasaran a no discriminar a las víctimas en función de su idioma.
Por tanto, gracias al avance de la IA generativa mal aplicada, la escala y eficiencia de estos ataques seguirán creciendo sin stop.
La defensa
La ciberdefensa para la IA generativa se ha convertido en la pieza que falta dentro del rompecabezas.
Hasta el momento, al usar el combate máquina a máquina o unir la IA contra la IA, podemos defendernos contra esta nueva y creciente amenaza. Pero, ¿Cómo debe definirse esta estrategia?
En primer lugar, la industria debe actuar para vincular computadora contra computadora en lugar de ser el humano contra la computadora. Para continuar con ese esfuerzo, se debe considerar las plataformas de detección avanzadas que pueden detectar amenazas generadas por IA, reducir el tiempo que lleva marcarlas como amenazas y el tiempo que lleva resolver un ataque de ingeniería social originado a partir de IA generativa: Algo imposible para un humano.
Caso real de un mal uso de la IA
Recientemente, un importante equipo de ciberseguridad se dispuso a realizar una importante prueba.
Hicieron que ChatGPT preparase un correo electrónico de phishing, creado en varios idioma diferentes para ver si una plataforma de comprensión del lenguaje natural o una plataforma de detección avanzada podía detectarlo.
Mediante el prompt de: “escribe un correo electrónico urgente instando a alguien a llamar sobre un aviso final de un acuerdo de licencia de software”.
Esos correos generados mediante ChatGPT fueron analizados por una plataforma de detección avanzada, que si fue capaz de marcarlos inmediatamente como correos electrónicos bajo sospecha de un ataque realizado mediante ingeniería social
Pero los controles de correos electrónicos nativos, como la plataforma de detección de phishing de Outlook, no fueron capaces de identificar el correo como spam.
Incluso antes del lanzamiento de ChatGPT, la ingeniería social realizada a través de ataques conversacionales basados en el idioma, siempre resultó exitosa. Puesto que se podía esquivar los controles tradicionales y aterrizar en las bandejas de entrada sin un enlace o carga útil.
Entonces, parece quedar claro que se necesita implementar un combate máquina contra máquina para poder llegar a defenderse, pero también va a existir la necesidad de implementar nuevas plataformas de detección avanzada.
Cualquiera que tenga estas herramientas a su disposición, tendrá una gran ventaja en la lucha contra la IA generativa mal aplicada.
Cuando se trata de la escala y la plausibilidad de los ataques de ingeniería social que ofrece ChatGPT y otras formas de IA generativa, la defensa de máquina a máquina también se puede refinar. Por ejemplo, la defensa también se puede implementar en varios idiomas.
Además, no solo tiene que limitarse a la seguridad del correo electrónico, sino que puede usarse para otros muchos canales de comunicación; como las aplicaciones de Slack, WhatsApp, Teams, etc.
No bajar la guardia
Al desplazarte por LinkedIn, también puedes encontrarte con intentos de ingeniería social de IA generativa.
Cada vez más, se puede encontrar anuncios de descarga de “documentos técnicos” generados por un patrón revelador y que incluyen imágenes producidas por sistemas como Dall-E, el modelo de IA que genera imágenes a partir de indicaciones basadas en texto.
Esto demuestra, que en este momento en el que la IA generativa se encuentra en un auge más elevado que nunca, el ser humano debe estar más alerta y mantenerse más desconfiado que nunca antes.
La era en la que la IA generativa se utiliza para el ciberdelito está aquí, y debes permanecer atento y preparado para contraatacar con todas las herramientas que encuentres a tu alcance.