La inteligencia artificial (IA) ha disparado la carrera armamentística de la ciberseguridad en el último año con importantes implicaciones tanto para las empresas, como para los usuarios de la web. ESET, compañía líder en detección proactiva de amenazas, advierte que, mientras que la tecnología de IA ayuda a los defensores a mejorar la seguridad, los actores maliciosos no pierden el tiempo en aprovechar las herramientas potenciadas por IA, por lo que es esperable un aumento de las estafas, la ingeniería social, el fraude de cuentas, la desinformación y otras amenazas.
A principios de 2024, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) advirtió que la IA ya está siendo utilizada por todo tipo de actores de amenazas y que «casi con toda seguridad aumentará el volumen y el impacto de los ciberataques en los próximos dos años». La amenaza es más grave en el contexto de la ingeniería social, donde la IA generativa (GenAI) puede ayudar a los actores maliciosos a elaborar campañas muy convincentes en idiomas locales impecables; o en el reconocimiento, donde la IA puede automatizar la identificación a gran escala de activos vulnerables.
Aunque estas tendencias continuarán sin duda en 2025, es posible que también se vea el uso de la IA para:
·Eludir la autenticación: La tecnología Deepfake se utiliza para ayudar a los estafadores a hacerse pasar por clientes en selfies y comprobaciones basadas en vídeo para la creación de nuevas cuentas y el acceso a cuentas.
·Compromiso del correo electrónico comercial (BEC): La IA utilizada para la ingeniería social, pero esta vez para engañar a un destinatario corporativo para transferir fondos a una cuenta bajo el control del estafador. El audio y el vídeo falsos también pueden utilizarse para hacerse pasar por directores generales y otros altos cargos en llamadas telefónicas y reuniones virtuales.
·Estafas de suplantación de identidad: Los grandes modelos lingüísticos (LLM) de código abierto ofrecerán nuevas oportunidades a los estafadores. Al entrenarlos con datos extraídos de cuentas de redes sociales pirateadas o de acceso público, los estafadores podrían suplantar la identidad de las víctimas en secuestros virtuales y otras estafas diseñadas para engañar a amigos y familiares.
·Estafas de personas influyentes: De forma similar, es de esperar que en 2025 los estafadores continuen utilizando GenAI para crear cuentas de redes sociales falsas o duplicadas imitando a celebridades, personas influyentes y otras figuras conocidas. Se publicarán vídeos deepfake para atraer a los seguidores y hacerles entregar información personal y dinero, por ejemplo en estafas de inversión y criptomonedas, incluyendo los tipos de estratagemas destacadas en el último Informe de Amenazas de ESET. Esto aumentará la presión sobre las plataformas de redes sociales para que ofrezcan herramientas eficaces de verificación de cuentas e insignias, así como para mantenerse alerta.
·Desinformación: GenAI se aprovechará para generar de forma fácil contenido falso, con el fin de engañar a usuarios a seguir cuentas falsas en redes sociales. Estos usuarios podrían convertirse entonces en amplificadores en línea para operaciones de influencia, de una manera eficaz y más difícil de detectar que las granjas de contenidos/trolls.
·Descifrado de contraseñas: Las herramientas impulsadas por la IA son capaces de desenmascarar credenciales de usuario en masa en cuestión de segundos para permitir el acceso a redes y datos corporativos, así como a cuentas de clientes.
En cuanto a la privacidad, la IA requiere enormes volúmenes de texto, imágenes y vídeo para entrenarse. A menudo, por accidente, algunos de esos datos serán sensibles. En algunos casos, las redes sociales y otras empresas pueden cambiar los términos y condiciones para utilizar los datos de los clientes para entrenar modelos. “Una vez acaparada por el modelo de IA, esta información representa un riesgo para las personas si el propio sistema de IA es pirateado. O si la información se comparte con otros a través de aplicaciones GenAI que se ejecutan sobre el LLM. También existe la preocupación de que los usuarios corporativos compartan involuntariamente información sensible relacionada con el trabajo a través de los mensajes de GenAI. Según una encuesta, una quinta parte de las empresas británicas han expuesto accidentalmente datos corporativos potencialmente sensibles a través del uso de GenAI por parte de sus empleados”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Por otro lado, se espera que la IA desempeñe un papel cada vez más importante en el trabajo de los equipos de ciberseguridad durante el próximo año, a medida que se incorpore a nuevos productos y servicios. Sobre la base de una larga historia de seguridad impulsada por la IA, estas nuevas ofertas, según ESET, ayudarán a generar datos sintéticos para la formación de usuarios, equipos de seguridad e incluso herramientas de seguridad de IA. A su vez, resumir informes de inteligencia sobre amenazas largos y complejos para los analistas y facilitar una toma de decisiones más rápida en caso de incidentes. También podrá mejorar la productividad de SecOps contextualizando y priorizando las alertas para los equipos ampliados, y automatizando los flujos de trabajo para la investigación y la corrección. Además, permitirá analizar grandes volúmenes de datos en busca de indicios de comportamiento sospechoso y mejorar la capacitación de los equipos de TI mediante funciones de «copiloto» integradas en varios productos para ayudar a reducir la probabilidad de errores de configuración.
“Está claro es que la IA cambiará radicalmente nuestra forma de interactuar con la tecnología en 2025, para bien y para mal. Ofrece enormes beneficios potenciales a empresas y particulares, pero también nuevos riesgos que deben gestionarse. Los gobiernos, las empresas del sector privado y los usuarios finales debemos desempeñar nuestro papel y trabajar juntos para aprovechar el potencial de la IA y, al mismo tiempo, mitigar sus riesgos”, concluye Gutiérrez Amaya de ESET Latinoamérica.
Fuente. ESET
