Un ciberarma de doble filo: cómo aprovechar la IA en defensa para adelantarse a los atacantes
La IA generativa (GenAI) se ha convertido en una de las tendencias tecnológicas más candentes en el último año, acaparando una gran atención. El rápido desarrollo de grandes modelos lingüísticos (LLM) y herramientas como ChatGPT ha impulsado a las organizaciones a explorar las ventajas potenciales de la GenAI. Aunque puede que estemos llegando al pico de unas expectativas un tanto infladas en torno a esta tecnología, es crucial que los responsables de seguridad sepan ver su abanico de aplicaciones más amplio.
Muchos proveedores de seguridad llevan años incorporando inteligencia artificial (IA) —en particular, el machine learning (ML)— con el objetivo de mejorar la eficacia de soluciones y potenciar sus capacidades. La IA encierra un inmenso potencial para reforzar la seguridad de las organizaciones y permitir a los defensores adelantarse a las amenazas. No obstante, es necesario reconocer que la IA tiene diversos casos de uso. Por ejemplo, las funciones basadas en IA/ML son tan buenas como los datos y los procesos utilizados para entrenar los modelos, incluidos el tamaño y la calidad de los conjuntos de datos, la supervisión de los cambios en la distribución de los datos, etc. La complejidad de la tecnología crea obstáculos y limitaciones adicionales; y, a pesar de la capacidad de la IA para superar a los humanos en algunas tareas complejas, no siempre es la aproximación más eficaz.
En esencia, la IA no es una solución única para todos los problemas de seguridad. A la hora de avanzar en defensa, hay que tener en cuenta la amplitud de los casos de uso de la IA y formular preguntas detalladas a los proveedores de seguridad para comprender qué soluciones son las más adecuadas para una organización.
Promesas y capacidades de las defensas basadas en IA
Los sistemas de IA son especialmente hábiles para identificar patrones en cantidades masivas de datos y hacer predicciones basadas en ellos. Tomemos como ejemplo las estafas de desvío de nóminas para ver las ventajas de la IA: estos ataques de email empresarial (BEC) cada vez más frecuentes evitan sistemáticamente la detección. Según evaluaciones de Proofpoint, solamente en un mes se descubrió que más de 400 amenazas de desvío de nóminas burlaron 12 herramientas de seguridad del correo electrónico.
Son ataques difíciles de detectar, porque no suelen contener payloads como enlaces o archivos adjuntos. Además, las soluciones tradicionales de seguridad del correo electrónico basadas en APIs analizan las amenazas después de la entrega, lo que requiere mucho tiempo por parte de los equipos de TI o de seguridad para alimentar la herramienta con datos. Dado que este enfoque no es escalable, muchos equipos optan por implantar estos controles sólo para un grupo selecto, como los altos ejecutivos. Sin embargo, los ciberdelincuentes se dirigen a una categoría mucho más amplia de personas dentro de una organización cuando llevan a cabo ataques de desvío de nóminas.
Ahí es donde las herramientas basadas en IA/ML, incluida la IA generativa (GenAI), ofrecen una enorme ventaja. La detección de amenazas basada en IA/ML, junto con la detección previa a la entrega basada en LLM, puede utilizarse para interpretar el tono contextual y la intención de un correo electrónico. Este enfoque preentrega protege a la organización bloqueando los emails fraudulentos y maliciosos antes de que lleguen al personal, minimizando en gran medida la exposición a amenazas como BEC.
No todas las herramientas de IA son iguales
Para funcionar correctamente, las soluciones de IA y ML necesitan grandes cantidades de datos de alta calidad, ya que los modelos aprenden a partir de patrones y ejemplos en lugar de reglas. Al entrenar estos modelos con millones de correos electrónicos diarios de un ecosistema mundial de inteligencia sobre amenazas, como es el caso de Proofpoint, se garantiza una detección de mayor fidelidad y da a los equipos de seguridad mayor confianza en la eficacia de su seguridad.
Un ciberarma de doble filo: cómo aprovechar la IA en defensa para adelantarse a los atacantes
Por tanto, antes de adoptar nuevas soluciones que se basan en IA y ML, se debe hacer preguntas a los proveedores como:
- ¿De dónde se obtienen los datos para entrenar los algoritmos? Conseguir datos para aplicaciones de IA de uso general es fácil, pero los datos de inteligencia sobre amenazas no son tan abundantes. Los datos de entrenamiento utilizados por el proveedor deben reflejar no sólo los escenarios del mundo real, sino también las amenazas específicas que acechan a una organización y su personal
- ¿Qué utilizan en detección para complementar la IA/ML? La tecnología inteligente no es tan eficiente, eficaz o fiable para algunos tipos de amenazas. Es crucial que una solución de seguridad integre otras técnicas, como reglas, firmas o procesos “human-in-the-loop” en el que se involucren a personas
Incluso antes de entrar en estos detalles, se necesita evaluar si la IA es óptima para los retos específicos de una organización y las personas que la componen. Los modelos de IA son complejos e intensivos desde el punto de vista computacional y pueden tardar más en ejecutarse que otras funcionalidades menos complicadas. A veces, las técnicas basadas en reglas son más eficaces, especialmente cuando es necesaria una respuesta rápida. Hay que ver qué objetivo de seguridad se intenta alcanzar y cuál camino es el mejor para abordarlo.
Aún sin un pronunciamiento sobre GenAI
Muchos proveedores de seguridad llevan años integrando discretamente la IA, pero los esfuerzos en torno a la GenAI tienen que hacerse mucho más visibles.
Por un lado, la GenAI se está moviendo mucho más en el ciclo de sobreexpectación (hype cycle) que cualquier otra tecnología anterior. Incluso los gobiernos, que suelen reaccionar con lentitud, ya han dado la voz de alarma, como demuestra la orden ejecutiva del presidente de Estados Unidos para abordar los riesgos de esta tecnología en rápido ascenso.
Mientras la comunidad de seguridad intenta comprender las implicaciones de la IA, no podemos pasar por alto el hecho de que los ciberdelincuentes también pueden utilizarla en su beneficio, de ahí que sea un arma de doble filo.
La GenAI, en particular, se ha convertido en el área de preocupación de mayor crecimiento para las organizaciones. Los equipos de TI y seguridad se están tomando en serio esta amenaza, con los líderes empresariales también alineados. En una encuesta global realizada por Proofpoint el año pasado a más de 600 miembros de juntas directivas, el 59% cree que las tecnologías emergentes como la GenAI suponen un riesgo de seguridad para su organización.
Los atacantes ya están aprovechándose de esta tecnología, utilizando LLM de código abierto para desarrollar herramientas maliciosas, como WormGPT, FraudGPT y DarkBERT. Estas permiten a los atacantes elaborar mejores emails de phishing y traducirlos a varios idiomas.
No cabe duda de que la IA generativa abre nuevas posibilidades a nuestros adversarios, pero al menos de momento muchas de las preocupaciones en torno a ella pueden resultar un tanto exageradas. Los atacantes no van a renunciar a sus tácticas o reinventarlas mientras sigan siendo lucrativas, de ahí que los defensores deban centrarse en las amenazas más inmediatas y asegurarse de que cuentan con las protecciones básicas.
Autor: Daniel Rapp, vicepresidente de IA/ML en Proofpoint
Powered by WPeMatico