Mientras los líderes empresariales y los expertos dedican tiempo y tinta a debatir sobre la IA en el ciclo de moda, los cibercriminales han estado ocupados lanzando ataques devastadores basados en IA. Los ataques de ingeniería social generados por IA, en particular, incluidos el phishing y la vulneración del correo electrónico empresarial, han aumentado drásticamente, y herramientas de código abierto como ChatGPT (y sus contrapartes maliciosas GhostGPT, FraudGPT y WormGPT) ofrecen a los estafadores sin experiencia tecnológica un nuevo campo de juego para crear ataques. Están ideando sofisticados ataques de correo electrónico increíblemente creíbles a gran escala y apuntando al vector de seguridad más vulnerable de cualquier empresa: los humanos en todos los niveles de una organización.
“Los seres humanos son los puntos finales más vulnerables y valiosos de la organización”, afirma Evan Reiser, director ejecutivo de Abnormal Security. “La seguridad convencional se centra en proteger la infraestructura, pero mientras haya seres humanos interactuando entre sí en la empresa (especialmente cuando se trata de información confidencial), esos seres humanos seguirán siendo puntos vulnerables que los atacantes pueden intentar explotar. Y ahora es mucho más fácil hacerlo con las herramientas de inteligencia artificial”.
Para ganar contra el futuro de los ataques generados por IA, el mundo necesita algunas cosas, dice Reiser: primero, una comprensión profunda de los tipos de ataques de ingeniería social que están sucediendo ahora y en el futuro, desde correos electrónicos de phishing personalizados y perfectamente escritos hasta sofisticados deep fakes que pueden imitar la interacción humana casi a la perfección. Segundo, un nuevo enfoque conductual para detener estas amenazas, porque la generación actual de herramientas de detección simplemente no está diseñada para detectar ataques de correo electrónico altamente convincentes y aparentemente realistas. Y tercero, requiere soluciones que funcionen a la velocidad de las máquinas para detectar y defender, lo que es cada vez más importante en una era en la que la brecha laboral en talento de seguridad crece cada día.
La IA maliciosa y el crecimiento de la ingeniería social
Los principales delitos cibernéticos actuales apuntan al canal de correo electrónico: el phishing es la principal causa de infracciones y la ingeniería social es la principal causa de pérdidas financieras, dice Reiser.
“Si quieres ser ingeniero social o estafador, la IA es la mejor herramienta que te ha pasado nunca”, explica. “ChatGPT puede redactar el mensaje perfecto porque entiende cómo funcionan las empresas, puede hacer conjeturas muy precisas sobre, por ejemplo, el lenguaje que utilizan los departamentos de cuentas por pagar para desviar los pagos y puede personalizar fácilmente esa comunicación para cada objetivo”.
Además, los tipos de ataques que antes llevaban horas de preparación ahora se realizan en segundos. La riqueza y sofisticación de estos ataques de ingeniería social es mayor que nunca, ahora que se generan mediante grandes modelos de lenguaje (LLM) entrenados en el superconjunto de información humana disponible en Internet. Estas herramientas brindan una enorme cantidad de contexto crítico sobre cómo trabaja la gente, cómo respondería alguien en un puesto de trabajo particular en una industria particular en una amplia gama de situaciones, y más.
“Estas herramientas de inteligencia artificial tienen protecciones integradas: por ejemplo, no te dirán cómo robar dinero de un banco”, dice Reiser. “Pero si dices: ‘Soy un empleado que está en el extranjero y necesito cambiar urgentemente mi información de nómina’, ChatGPT te ayudará a escribir un mensaje convincente que luego se puede utilizar con fines maliciosos”.
En el pasado, los delincuentes dedicaban mucho tiempo a investigar y perfilar manualmente a los objetivos más valiosos y vulnerables; ahora, la IA ofrece esa capacidad a gran escala. Con la proliferación de las redes sociales, hoy en día todo lo que se necesita es simplemente conectar un perfil de LinkedIn a un modelo de IA y lo que se obtiene es una instantánea del rol, los intereses, los contactos y más de una persona, todo lo cual ayuda a los delincuentes a planificar y ejecutar ataques de manera más efectiva.
Mantener la vulnerabilidad humana al frente de la estrategia de seguridad
Las herramientas de inteligencia artificial más utilizadas que la mayoría de nosotros conocemos hoy en día son los LLM, que generan texto, por lo que no sorprende que los correos electrónicos y mensajes de texto fraudulentos estén aumentando rápidamente. Pero otras formas de generación de medios maliciosos están en el horizonte, incluidas las falsificaciones profundas. Estamos a la vuelta de la esquina de un mundo en el que los avatares de falsificaciones profundas impulsados por IA podrían unirse a las reuniones de Zoom y simular ser un ejecutivo de confianza.
Además, la generación de imágenes mejora día a día y estamos cerca de un punto en el que parte de este contenido, ya sea texto, imágenes o vídeo, no podrá ser distinguido por los humanos, dice Reiser. El vídeo está casi ahí, volviéndose cada vez más en tiempo real y más interactivo. Si bien todo esto es genial para los “buenos”, debemos recordar que todos los avances en la tecnología conllevan cierto riesgo de que los actores maliciosos los exploten.
Con el tiempo, cualquier tipo de medio de información que utilicen los seres humanos se convertirá en un vehículo potencial para que los atacantes lo exploten. Las estrategias de ataque actuales están cambiando, ya que los cibercriminales se centran menos en atravesar cortafuegos y más en usar tácticas de engaño para engañar a las personas. En el futuro, los cibercriminales dedicarán mucho menos tiempo a centrarse en la infraestructura y más tiempo a atacar el comportamiento humano mediante ingeniería social, con la ayuda de herramientas como la inteligencia artificial.
Por supuesto, esto tiene importantes implicaciones para la seguridad, ya que los enfoques tradicionales centrados en el perímetro ya no funcionarán. Claro, puedes bloquear una dirección IP, pero no puedes bloquear el uso del correo electrónico, las llamadas telefónicas o las reuniones de Zoom y esperar operar un negocio eficaz.
“Los humanos son inherentemente accesibles, pero también inherentemente engañables”, dice Reiser. “Hay una razón por la que todavía necesitamos que los humanos hagan gran parte del trabajo de conocimiento actual porque, a diferencia de los robots, los humanos pueden tomar decisiones y emitir juicios matizados. Desafortunadamente, ese juicio también puede verse influenciado y aprovechado por técnicas de ingeniería social. Y aunque se pueden aplicar parches a los cortafuegos y a los servidores, no se pueden aplicar parches a los humanos”.
La explosión de la IA está impulsando una nueva ola de delitos cibernéticos, pero también ofrece una oportunidad única para los defensores. En la batalla contra la IA maliciosa, las organizaciones deben aprovechar la IA de calidad para contraatacar y proteger mejor su vulnerabilidad humana.
Detección de anomalías de comportamiento a gran escala
La tecnología de los deepfakes todavía está en desarrollo y, en la actualidad, muchos de nosotros podemos distinguir a un ser humano real de un deepfake mediante indicios físicos. Por ejemplo, es posible que puedas distinguir un deepfake de Zoom de tu compañero de trabajo porque conoces sus patrones de habla, tono y gestos generales. Pero, a medida que los deepfakes se vuelvan más sofisticados, detectar estos indicios será cada vez más difícil. Ya nos estamos acercando a ese punto.
Lo que esto significa para la defensa es que vamos a tener que buscar otras anomalías más sutiles en su comportamiento, como si nuestro “compañero de trabajo” aparece en Zoom en un momento en el que normalmente estaría en línea, o si es un participante habitual en ese tipo de reuniones.
“Hoy estamos adoptando el mismo enfoque para los ataques por correo electrónico”, añade Reiser. “Si llega un correo electrónico con un indicador conocido de riesgo (como una dirección IP incorrecta o un archivo adjunto o URL malicioso), las herramientas tecnológicas tradicionales pueden detectarlo y filtrarlo automáticamente. Pero la IA maliciosa cambia el guión y permite a los adversarios crear correos electrónicos específicos que omiten por completo estos indicadores y pasan desapercibidos”.
Esto exige un nuevo tipo de solución que pueda leer señales de comportamiento en lugar de señales de amenaza, y compararlas con una línea de base de comportamiento creada para cada contacto conocido dentro y fuera de la organización. Aquí es donde una buena IA tiene un papel importante que desempeñar, ya que actúa como motor para detectar y analizar con precisión las anomalías de comportamiento, deteniendo los ataques antes de que tengan la oportunidad de alcanzar su objetivo.
Este enfoque, que protege a las personas mediante el uso de IA para la detección de anomalías de comportamiento, ha demostrado ser muy eficaz para combatir sofisticados ataques por correo electrónico, tanto generados por humanos como por IA. Y el correo electrónico es solo el comienzo: existe un potencial sin explotar para ampliar la seguridad de la IA del comportamiento a un conjunto mucho más amplio de casos de uso de seguridad, a una escala que los analistas de seguridad humanos no pueden igualar por sí solos.
Si bien los humanos son buenos en el reconocimiento de patrones, trabajan con una cantidad relativamente pequeña de datos. En una empresa con 100.000 empleados, ningún profesional de seguridad podría conocer a cada una de esas personas, qué hacen, cómo trabajan o con quién interactúan, pero la IA sí puede. Puede aplicar ese mismo nivel de intuición y reconocimiento de patrones que los humanos usan, a escala de big data, para tomar decisiones a la velocidad de las máquinas.
“Es un enfoque extremadamente eficaz y hemos tenido éxito en la seguridad del correo electrónico, así como en otras áreas adyacentes”, afirma Reiser. “Por eso, aunque parezca que hay pesimismo en torno al lado oscuro de la IA, tengo una actitud positiva respecto de su potencial a largo plazo para el bien y de cómo podría transformar la forma en que nosotros, como civilización, luchamos contra el cibercrimen”.
Cómo llenar el vacío del mercado laboral con seguridad nativa de IA
Estas nuevas herramientas de inteligencia artificial conductual no solo reducen el riesgo para su personal, sino que también se hacen cargo de gran parte del trabajo tedioso que antes se delegaba en los humanos, como buscar en archivos de registro y procesar datos, lo que en última instancia libera una gran cantidad de tiempo para los equipos de operaciones de seguridad. Eso es importante para la industria de la ciberseguridad en general en este momento, dice Reiser. En un mundo donde millones de puestos de trabajo de seguridad están vacantes, todo mientras los ciberataques se vuelven más avanzados, necesitamos tecnología para llenar el vacío y ayudarnos a avanzar hacia un mundo que sea seguro para todos.
“Para lograrlo, necesitamos que todas las empresas sean seguras, no solo una o dos empresas que puedan desembolsar más dinero en soluciones de seguridad”, afirma Reiser. “La IA es fundamental no solo para detener nuevos ataques, sino también para ayudarnos a realizar la transición a un paradigma más sostenible en cuanto a cómo nos ocupamos de la seguridad a nivel de civilización”.
Fuente.
VentureBeat (2025, 4 de febrero). La IA conductual es nuestra mejor esperanza para combatir las amenazas de la ingeniería social. Recuperado el 17 de febrero de 2025, de: https://venturebeat.com/security/behavioral-ai-is-our-best-hope-for-fighting-social-engineering-threats/