3 peligros y ventajas de la IA generativa en ciberseguridad

Con el creciente papel de la Inteligencia Artificial (IA) en nuestras vidas, tanto entidades como ciudadanos están comenzando a cuestionar si los riesgos asociados con esta tecnología podrían igualar o incluso superar sus beneficios. En el ámbito de la ciberseguridad, la IA puede desempeñar un papel tanto constructivo como destructivo, ya que puede contribuir a fortalecer las defensas cibernéticas, pero también puede utilizarse para evadir los sistemas de protección.

Uno de los peligros más preocupantes que plantea la IA en relación con la ciberseguridad es la posibilidad de que los ciberataques a infraestructuras críticas se vuelvan generalizados. Estas infraestructuras incluyen sistemas de generación de energía y redes eléctricas, hospitales, servicios de salud, cadenas de suministro globales, incluyendo las cadenas de suministro digitales, e incluso la propia Internet.

3 peligros de la IA en ciberseguridad

Chat GPT todavía no es lo suficientemente eficaz a la hora de generar respuestas con código complejo para crear un malware generado completamente por IA, pero sí que es bastante preciso a la hora de sugerir códigos y fragmentos para que los ciberatacantes puedan construir sus malwares. Desde ESET se destacan tres áreas en las que la IA generativa sí podrían tener repercusión:

1 – Suplantaciones de identidad

Las suplantaciones de identidad están evolucionando hacia un nivel de persuasión cada vez mayor. Con el uso de grandes cantidades de datos de diversas fuentes, se combinan de manera casi perfecta para crear mensajes de correo electrónico diseñados específicamente, lo cual dificulta cada vez más la detección de señales de intenciones maliciosas en estos mensajes. Como resultado, las víctimas tienen más dificultades para no caer en este tipo de ingeniería social. Además, ya no pueden depender de errores gramaticales chapuceros como una pista para detectar intentos de phishing, ya que los mensajes podrían tener una gramática mucho más convincente.

El spear-phishing puede ser aún más convincente debido a la capacidad de construir correos electrónicos o mensajes personalizados, incluso con gatillos emocionales específicos, gracias a la ayuda de la IA. Estas capacidades se verán potenciadas por las opciones de generación de texto multilingüe, lo que permitirá operar a una escala más amplia y global. Esto resultaría especialmente útil en caso de atacar infraestructuras críticas en múltiples estados simultáneamente.

2 – Automatización de las negociaciones de rescate

Resulta poco natural que los operadores de ransomware hablen con fluidez. Sin embargo, al implementar la capacidad de lenguaje natural de ChatGPT en estas comunicaciones, se podría reducir la carga de trabajo de los atacantes para parecer legítimos durante las negociaciones. Además, este uso también tendría el beneficio de minimizar errores, lo que permitiría a los defensores localizar las verdaderas identidades y ubicaciones de los operadores.

Adicionalmente, gracias a la creciente facilidad de generar vídeos y voz con IA, los actores maliciosos podrían ocultar su identidad de manera más efectiva al convertirse en cualquier persona. De hecho, la preocupación por la IA se ha extendido tanto en este campo que muchos profesionales ahora incluyen cláusulas en sus contratos para prohibir el uso de su trabajo con fines relacionados con la Inteligencia Artificial. Un ejemplo de esta preocupación es el polémico vídeo completamente generado por IA en el que los presidentes Biden, Trump y Obama discuten sobre un videojuego.

3 – Estafas telefónicas más sofisticadas

Con la mejora constante del lenguaje natural generado por la tecnología, los estafadores pueden parecer cada vez más convincentes. Este es solo uno de los primeros pasos para crear una estafa convincente: identificar el perfil de la víctima y tratar de ofrecer la máxima seguridad al hacerse pasar por personas cercanas a ellos.

Aunque los estafadores logren replicar con precisión la cadencia natural de una voz, los contenidos generados por IA todavía carecen de autenticidad en la actualidad. Esto significa que, a pesar de que las voces, los videos o los textos parezcan legítimos, aún pueden contener algunos errores o problemas específicos que pueden ser fácilmente identificados.

Infraestructuras críticas frente a la IA

Desde ESET advierten que, a medida que la IA desempeña un papel clave en la ciberseguridad, tanto empresas como gobiernos deben adaptarse y aprovechar sus beneficios, mientras los delincuentes también buscan hacer lo mismo. Según un informe de Acumen Research and Consulting de julio de 2022, el mercado mundial de IA alcanzó los 14.900 millones de dólares en 2021 y se estima que llegará a 133.800 millones de dólares en 2030.

El creciente uso del Internet de las cosas (IoT) y dispositivos conectados abre nuevas oportunidades para la IA en servicios de seguridad basados en la nube. Las herramientas de aprendizaje automático se emplean en antivirus, prevención de pérdida de datos, detección de fraudes, gestión de identidades y accesos, sistemas de detección/prevención de intrusiones y servicios de gestión de riesgos y cumplimiento, fortaleciendo la protección.

Sin embargo, los ciberdelincuentes también pueden aprovechar la IA. Una vez desarrollada lo suficiente, podrían utilizarla para identificar patrones y debilidades en sistemas informáticos y programas de seguridad, permitiéndoles explotar estas vulnerabilidades recién descubiertas. Las infraestructuras críticas podrían convertirse en objetivos principales para los atacantes.

Con la IA siendo utilizada en ataque y defensa, los agentes de seguridad y los gobiernos deben anticipar posibles escenarios. La Unión Europea ya está evaluando los riesgos mediante la propuesta de la Ley de IA para regular su uso. Esta legislación clasifica las herramientas de IA según su nivel de riesgo, estableciendo obligaciones proporcionales para los gobiernos y empresas que las utilicen.

Quienes utilicen IA de alto riesgo deberán someterse a rigurosas evaluaciones, registrar sus actividades y proporcionar datos a las autoridades para su revisión, lo que incrementará los costos de cumplimiento para las empresas. En caso de infracciones, las multas podrían alcanzar los 30 millones de euros o el 6% de los beneficios globales de la empresa.