Los adversarios están desatando nuevas técnicas comerciales para explotar cualquier debilidad que puedan encontrar en los puntos finales, apoyándose en la IA generativa (gen AI) para crear nuevas armas de ataque de elección.
Lo preocupante es la rapidez con la que crecen sus arsenales. Eso es evidente en la velocidad y la escala de las campañas de phishing, los vídeos deepfake y los ataques de ingeniería social. Más del 67 % de los ataques de phishing se basaron en IA el año pasado, y el 61 % de los responsables de seguridad están viendo campañas de phishing creadas a gran escala con chatbots de IA que atacan a sus organizaciones. Deloitte predice que las pérdidas relacionadas con los deepfakes se dispararán a 40 000 millones de dólares en 2027 , con una tasa de crecimiento anual compuesta del 32 %.
Los equipos de ciberseguridad que han combatido con éxito ataques a puntos finales le dicen a VentureBeat que es común que los adversarios realicen reconocimientos meses antes de un ataque para identificar debilidades en los puntos finales.
Todo lo que se necesita es una rápida llamada telefónica al servicio de asistencia interna para restablecer una contraseña o MFA en el momento adecuado, y listo.
Los puntos finales se enfrentan a una avalancha de nuevos ataques basados en IA
Los adversarios están priorizando y acelerando los ataques a los puntos finales utilizando todas las fuentes de automatización disponibles para escalar sus esfuerzos, siendo la inteligencia artificial (IA) de última generación y el aprendizaje automático (ML) las principales tecnologías de ataque elegidas.
Los principales objetivos son los servicios financieros, la atención sanitaria, la fabricación, los distribuidores y las empresas principales en cadenas de suministro complejas. Crear caos en una cadena de suministro de servicios financieros es un multiplicador del ransomware.
“Debido a la naturaleza de nuestro negocio, nos enfrentamos a algunas de las amenazas cibernéticas más avanzadas y persistentes que existen”, dijo Katherine Mowen, vicepresidenta sénior de seguridad de la información de The Rate Companies , a VentureBeat en una entrevista reciente . “Vimos que otros en la industria hipotecaria sufrieron infracciones, por lo que necesitábamos asegurarnos de que no nos sucediera a nosotros. Creo que lo que estamos haciendo ahora es combatir la IA con IA”.
Las armas basadas en inteligencia artificial de los adversarios se están volviendo tan avanzadas que una vulneración podría durar meses sin que el equipo de seguridad de una organización la detecte. El tiempo promedio que se tarda en identificar y contener una vulneración es de 277 días, con 176 días para reconocerla y 82 días para contenerla, según el último Informe sobre el costo de una vulneración de datos de IBM . La inteligencia artificial utilizada como arma está dificultando que las empresas cierren esa brecha.
“Si tienes adversarios que aparecen en dos minutos y te lleva un día procesar los datos y otro día realizar una búsqueda, ¿cómo puedes esperar seguirle el ritmo a un adversario como ese?”, le dijo recientemente Elia Zaitsev, director de tecnología de CrowdStrike , a VentureBeat .
Una de cada tres organizaciones no cuenta con una estrategia documentada para defenderse de las amenazas de la IA y la inteligencia artificial. El Informe sobre el estado de la ciberseguridad de 2024 de Ivanti concluyó que el 89 % de los directores de seguridad de la información y los líderes de TI creen que las amenazas impulsadas por la IA apenas están comenzando.
La mayoría de los líderes de seguridad, el 60 %, temen que sus organizaciones no estén preparadas para defenderse de las amenazas y los ataques impulsados por IA. La investigación de Ivanti descubrió que el phishing, las vulnerabilidades de software, los ataques de ransomware y las vulnerabilidades relacionadas con las API son las cuatro amenazas más comunes. No es casualidad que estos cuatro métodos sean los que más beneficios obtengan con la IA de última generación.
La protección de endpoints necesita urgentemente más velocidad
“El adversario es cada vez más rápido y el aprovechamiento de la tecnología de inteligencia artificial forma parte de ello. El aprovechamiento de la automatización también forma parte de ello, pero la entrada en estos nuevos dominios de seguridad es otro factor importante, y eso ha hecho que no solo los atacantes modernos, sino también las campañas de ataque modernas, sean mucho más rápidos”, afirma Zaitsev.
Etay Maor, estratega jefe de seguridad de Cato Networks , señaló durante una reciente entrevista con VentureBeat que Cato Networks ya está viendo casos “en los que los atacantes intentan eludir los sistemas basados en IA dándoles inyecciones rápidas, o no necesariamente rápidas, sino inyectando información en el sistema de IA y tratando de convencerlo de que lo que está mirando no es malicioso, sino más bien benigno”.
Maor continuó: “Participamos y monitoreamos diferentes foros clandestinos y vemos que aparecen cientos de aplicaciones de IA. Creo que las organizaciones no se dan cuenta de lo que está sucediendo en su red, y el gran dolor de cabeza será cuando veamos que las aplicaciones maliciosas se cuelan por las grietas”.
“Todos los días identificamos alrededor de un millón y medio de ataques nuevos que nunca antes se habían visto”, dijo Shailesh Rao, presidente de la división Cortex de Palo Alto Networks . “Los ataques se están volviendo tan sofisticados que la aguja cambia miles de millones de veces al día. ¿Preferirías escribir reglas o aplicar el aprendizaje automático a todos estos datos?”
Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento e identidad de Microsoft, pintó un panorama aún más crudo en una entrevista con VentureBeat. “Hace tres años, en 2021, vimos 567 ataques relacionados con la identidad, que estaban relacionados con las contraseñas; eso es muchos ataques por segundo. Hoy, esa cifra es de 7000 ataques con contraseñas por segundo y más de 1500 actores de amenazas rastreados”.
Cuatro áreas en las que todo proveedor de puntos finales debe destacarse con la IA en 2025
Los ataques a puntos finales, a identidades y a múltiples dominios dominan hoy el panorama de amenazas empresariales, impulsados en parte por nuevas técnicas inventadas utilizando IA de última generación.
Los proveedores de endpoints deben avanzar en la ingestión de datos, la priorización de incidentes, la automatización de la clasificación y el reposicionamiento, y la mejora del análisis de la ruta de ataque. Entre los principales proveedores de endpoints que ofrecen plataformas de protección de endpoints basadas en IA se incluyen Cato Networks, Cisco, CrowdStrike, Microsoft, Palo Alto Networks, SentinelOne, Trend Micro y Zscaler, y CrowdStrike utiliza la IA y el ML como componentes centrales de su estrategia desde su fundación en 2011.
A continuación se presentan cuatro áreas clave en las que todo proveedor debe tomar medidas este año:
Aceleración de la ingesta y normalización de datos: la IA ayuda a los proveedores de puntos de conexión a analizar rápidamente los registros de los puntos de conexión, las aplicaciones SaaS y los servidores locales, y a asignar los datos a un esquema universal. Esto tiene el potencial de reducir el tiempo de análisis de días a minutos.
Mejora de la identificación de incidentes y las acciones de seguimiento: los motores de correlación impulsados por IA examinan millones de alertas y las reducen a unas pocas pistas de alto valor utilizando datos de series de tiempo, IOA y modelos personalizados para priorizar los incidentes más críticos.
Aceleración de la forma en que la plataforma de puntos finales clasifica y responde a los intentos de intrusión: las herramientas impulsadas por IA ayudan con las búsquedas avanzadas, generan scripts de reparación y reducen el tiempo de análisis forense manual de horas a minutos. Los manuales predefinidos permiten acciones rápidas, como aislar puntos finales o bloquear direcciones IP maliciosas.
Permitir una postura más proactiva y mejorar el análisis de rutas de ataque: la IA identifica posibles rutas de intrusión combinando inteligencia sobre amenazas, vulnerabilidades, permisos de usuario y datos de red, y luego recomienda soluciones específicas para bloquear múltiples rutas de ataque.
Un manual para 2025: 12 pasos imprescindibles para cerrar las brechas de la IA en la seguridad de los endpoints
La lucha contra los ataques de IA debe comenzar en un nivel más estratégico que el que se utiliza actualmente en muchas organizaciones. Va más allá de sobrecargar los puntos finales con otro agente más o exigir a los usuarios que se autentiquen en varios sistemas de gestión de identidad. La IA debe estar en el centro mismo de la pila de ciberseguridad.
Los siguientes 12 pasos obligatorios forman un manual pragmático para 2025, que cubre las tecnologías, los procesos y los cambios culturales clave necesarios para cerrar las brechas cada vez mayores en la seguridad de los puntos finales.
- Adopción de SASE o SSE: adopte un enfoque SASE o SSE convergente que combine la confianza cero con sus datos de red, puntos finales e identidad. Deje que la IA monitoree todo en tiempo real para que no pase por alto amenazas que las herramientas aisladas no pueden detectar.
- Modelado de datos semánticos para una visibilidad unificada: estandarice los registros en la nube, los puntos finales y los sistemas de identidad en un solo modelo. Deje que la IA analice y normalice los datos para que su equipo obtenga una visión completa rápidamente.
- Estrategias y manuales basados en IA: utilice un sistema XDR o similar alineado con la confianza cero para reducir los tiempos de espera. Los manuales basados en IA ayudan a organizar las respuestas en minutos, no en días.
- Motores similares a Signal para priorizar amenazas: correlacione datos en toda su arquitectura de confianza cero para detectar amenazas ocultas. La IA puede ayudar a descubrir patrones sospechosos para que pueda centrarse primero en los problemas reales.
- Prevención de amenazas a la identidad: apóyese en principios de confianza cero para realizar comprobaciones de postura en tiempo real y análisis de privilegios. La IA bloquea a los atacantes que intentan cambiar de estrategia con credenciales o tokens robados.
- Refuerzo proactivo mediante análisis de la ruta de ataque: aplique la confianza cero desde el principio para limitar el movimiento lateral. La IA identifica la menor cantidad de correcciones que bloquean varias rutas en una sola pasada.
- Inteligencia artificial y gobernanza explicables: realice un seguimiento de cada decisión impulsada por la IA para que su junta directiva y los reguladores confíen en ella. La confianza cero significa que no hay cajas negras. Mantenga la visibilidad de la lógica de la IA.
- Utilice IA especializada en lugar de modelos genéricos: entrene modelos con tácticas de atacantes reales dentro de un marco de confianza cero. Verá menos falsos positivos y una detección más precisa.
- Ajuste continuo de modelos y actualizaciones de conjuntos de datos: actualice los modelos de IA periódicamente para mantenerse al día con las amenazas en evolución. La confianza cero es dinámica, por lo que sus flujos de datos también deberían serlo.
- Validación con intervención humana: incluso con la automatización de confianza cero, la información humana es importante. Los analistas perfeccionan los hallazgos de la IA para detectar amenazas sutiles y reducir las falsas alarmas.
- Orquestación automatizada de respuestas a incidentes: integre estrategias de inteligencia artificial con controles de confianza cero en puntos finales, firewalls e identidad. Una vez examinadas, las respuestas se propagan instantáneamente.
- Integración de confianza cero de extremo a extremo: verificación en cada paso de la cadena de ataque. La combinación de detección por IA con controles de acceso estrictos obliga a los atacantes a superar nuevas barreras en cada paso.
En resumen
A medida que los atacantes van más allá de los endpoints tradicionales, las organizaciones deben unificar los datos sobre amenazas y acelerar sus defensas en infraestructuras híbridas. Por eso, muchos proveedores líderes necesitan acelerar sus esfuerzos centrándose en soluciones impulsadas por IA que gestionen la ingesta de datos, la correlación y la respuesta automatizada en tiempo real.
El manual anterior señala el camino para alcanzar estos objetivos y defenderse con éxito contra los ataques adversarios basados en IA que no solo seguirán llegando, sino que seguirán creciendo en sofisticación.
Fuente.
VentureBeat (2025, 28 de enero). Cómo burlar los ciberataques impulsados por IA: un manual para la defensa de endpoints en tiempo real en 2025. Recuperado el 29 de enero de 2025, de: https://venturebeat.com/security/outsmarting-ai-powered-cyber-attacks-endpoint-defense-2025/