Hasta ahora, las organizaciones han tenido su mayor debilidad en la lucha contra el ciberdelito bien controlada: los empleados han sido capacitados y sensibilizados con éxito. Pero con las estafas de ingeniería social generadas por IA llega una nueva ola. Hasta que la tecnología esté madura, los seres humanos tienen que ser los perros guardianes, dice Chester Wisniewski, Field CTO Applied Research en Sophos y hace tres predicciones para el futuro.
Las organizaciones han lidiado con uno de sus componentes de ciberseguridad más críticos: su gente. Contrarrestan la "debilidad humana" con capacitación continua y ahora a menudo confían en que los usuarios reconocerán posibles ataques de phishing debido a irregularidades lingüísticas o errores ortográficos y gramaticales, por ejemplo.
La IA ya no se revela a través de faltas de ortografía
Pero los generadores de voz y contenido impulsados por IA como ChatGPT están en camino de eliminar estos elementos reveladores de estafas, intentos de phishing y otros ataques de ingeniería social. Un correo electrónico falso de un "supervisor" puede sonar más convincente que nunca gracias a la inteligencia artificial y, sin duda, los empleados tendrán más dificultades para distinguir la realidad de la ficción. En el caso de estas estafas, los riesgos que plantean las herramientas de lenguaje de IA no son técnicos, son sociales y, por lo tanto, aterradores.
Los riesgos específicos de los ataques de phishing generados por IA
Desde la creación de publicaciones de blog y la codificación de código hasta la redacción de correos electrónicos profesionales, las herramientas de lenguaje de IA pueden hacerlo todo. Las tecnologías son expertas en generar contenido atractivo y son increíblemente buenas para emular patrones de lenguaje humano.
Si bien aún no hemos verificado ningún abuso de estos programas para contenido de ingeniería social, sospechamos que es inminente. ChatGPT ya se ha utilizado para escribir malware, y esperamos que los delincuentes desarrollen pronto aplicaciones maliciosas para herramientas de voz de IA. Pero: ¡el contenido de phishing generado por IA ya presenta riesgos sociales únicos que socavan la defensa técnica!
Ataques de phishing de IA: ¿Todos los correos electrónicos pueden ser una amenaza?
Tome el malware generado por IA, por ejemplo: los productos de seguridad existentes pueden analizar el código de codificación en milisegundos y evaluarlo con confianza como seguro o malicioso. Más importante aún, la tecnología puede contrarrestar la tecnología.
Pero las palabras y los matices incrustados en los mensajes de phishing creados con inteligencia artificial no pueden ser detectados por las máquinas: son los humanos quienes interpretarán estos intentos de estafa como destinatarios. Dado que las herramientas de IA pueden producir contenido sofisticado y realista bajo demanda, podemos depender cada vez menos de los humanos como parte de la línea de defensa.
Nuevo hecho: Tecnología vs. Tecnología
Esta situación en rápida evolución requiere una reevaluación del papel de la capacitación en seguridad para combatir los ataques de ingeniería social. Si bien aún no existe una aplicación comercial contra el fraude generado por IA, la tecnología servirá cada vez más como una herramienta clave para identificar y proteger a las personas de los ataques de phishing generados por máquinas. Los seres humanos seguirán desempeñando un papel, pero solo uno muy pequeño.
Tres profecías para la era ChatGPT
Si bien todavía estamos en las primeras etapas de esta nueva era de IA, ya está claro que el contenido de phishing generado por IA se convertirá en un tema de gran importancia para la estrategia de seguridad corporativa. Los siguientes tres pronósticos de cómo se podría usar ChatGPT como una herramienta para el ciberdelito y qué respuestas de seguridad se desarrollarán a partir de él parecen ser los más probables:
1. Será necesaria una autenticación de usuario más compleja.
Las máquinas son muy buenas para sonar como humanos, por lo que es necesario proporcionar nuevas opciones de autenticación en las empresas. Esto significa: toda comunicación que se refiera al acceso a información de la empresa, sistemas o elementos monetarios debe requerir formas más complejas de autenticación del usuario. La verificación de llamadas telefónicas probablemente se convertirá en el método más común para verificar este tipo de correos electrónicos o mensajes. Las empresas también podrían usar una contraseña diaria secreta para identificarse ante otras entidades o individuos.
Algunas instituciones financieras ya operan de esta manera. Cualquiera que sea la forma de verificación que se utilice, es crucial que el método no pueda ser utilizado fácilmente por atacantes que hayan comprometido las credenciales de los usuarios.
A medida que las tecnologías de IA evolucionan y se propagan a una velocidad vertiginosa, los métodos de autenticación deben mantenerse al día. Por ejemplo, en enero de este año, Microsoft presentó VALL-E, una nueva tecnología de inteligencia artificial que puede clonar una voz humana después de tres segundos de grabación de audio. Entonces, en un futuro cercano, la llamada telefónica probablemente ya no sea suficiente como requisito de autenticación tampoco...
2. Los usuarios legítimos diluyen las advertencias de seguridad: todas o ninguna
Chester Wisniewski, CTO de investigación aplicada de campo en Sophos (Imagen: Sophos).
Muchos usuarios usan ChatGPT para producir rápidamente contenido profesional o promocional. Este uso legítimo de herramientas de lenguaje de IA complica las respuestas de seguridad al dificultar la identificación de ejemplos delictivos.
Ejemplo: no todos los correos electrónicos que contienen texto generado por ChatGPT son maliciosos, por lo que no podemos bloquearlos todos directamente. Esto, hasta cierto punto, diluye nuestra respuesta de seguridad. Como contramedida, los proveedores de soluciones de seguridad podrían desarrollar "puntos de confianza" u otros indicadores que evalúen la probabilidad de que un mensaje o correo electrónico, aunque generado por IA, siga siendo confiable. También podrían entrenar modelos de IA para reconocer texto creado con inteligencia artificial y colocar un cartel de "precaución" en los sistemas orientados al usuario. En ciertos casos, esta tecnología podría filtrar los mensajes de la bandeja de entrada del correo electrónico del empleado.
3. El fraude generado por IA será más interactivo
Espero que los delincuentes utilicen los programas de lenguaje de IA de manera aún más interactiva en el futuro para producir correos electrónicos de phishing o mensajes únicos. Los estafadores podrían usar esta tecnología para manipular a las personas a través del chat en tiempo real.
Los servicios de mensajería como WhatsApp, Signal o Telegram están encriptados de extremo a extremo, por lo que estas plataformas no pueden filtrar mensajes fraudulentos o generados por IA en canales privados. Esto podría hacerlos muy atractivos para los estafadores que acechan a sus víctimas en estas plataformas.
Por otro lado, este desarrollo podría llevar a las organizaciones a reconfigurar sus soluciones de seguridad. Puede ser necesario utilizar tecnologías de filtro en dispositivos finales de empleados individuales.
Hasta que las nuevas tecnologías se arraiguen, se aplica lo siguiente: desconfiar de toda comunicación
Las herramientas de lenguaje de IA hacen preguntas esenciales para el futuro de la ciberseguridad. Descubrir qué es real es cada vez más difícil y los desarrollos futuros no lo hacen más fácil. Las tecnologías serán el arma principal contra el ciberdelito impulsado por la IA. Pero ahora los empleados tienen que intervenir y aprender a desconfiar de toda comunicación. En la era de ChatGPT, eso no es una reacción exagerada, es una respuesta crítica.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.