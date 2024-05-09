Los avances en los modelos de lenguaje grandes (LLM) están impulsando una carrera armamentista entre los estafadores de ciberseguridad y de ingeniería social. Así es como se desarrollará en 2024.
Para las empresas, la IA generativa es tanto una maldición como una oportunidad. A medida que las empresas se apresuran a adoptar la tecnología, también asumen una nueva capa de riesgo cibernético. El miedo constante a perder algo tampoco ayuda. Pero los delincuentes cibernéticos no solo tienen en la mira a los modelos de IA en sí mismos. En una época en la que la falsificación es la nueva normalidad, también están utilizando la IA para crear ataques de ingeniería social alarmantemente convincentes o generar desinformación a escala.
Si bien el potencial de la IA generativa para ayudar a los procesos creativos y analíticos es indudable, los riesgos son menos claros. Después de todo, los correos electrónicos de phishing creados con la tecnología son más convincentes que aquellos llenos de errores tipográficos y gramaticales. Las imágenes de perfil creadas en sintetizadores de imágenes son cada vez más difíciles de distinguir de las reales. Ahora, estamos llegando a una etapa en la que incluso los videos deepfake pueden engañarnos fácilmente.
Gracias a estas tecnologías, los ciberdelincuentes pueden crear identidades muy convincentes y ampliar su alcance a través de las redes sociales, el correo electrónico e incluso las llamadas de audio o videollamadas en directo. Es cierto que aún es pronto para la IA generativa en la ingeniería social, pero no hay duda de que llegará a dar forma a todo el panorama de la delincuencia cibernética en los próximos años. Con eso en mente, estas son algunas de nuestras principales predicciones de delitos cibernéticos impulsadas por IA generativa para 2024.
El delito como servicio no es nada nuevo. Los sindicatos de delitos cibernéticos han estado al acecho en los foros y mercados de la dark web durante años, reclutando a personas con menos conocimientos técnicos para ampliar su alcance nefasto.
Pero con la democratización de la IA y los datos surgen nuevas oportunidades para que los actores de amenazas no técnicos se sumen a la contienda. Con la ayuda de los LLM, los posibles delincuentes cibernéticos solo necesitan ingresar algunas instrucciones para crear un correo electrónico de phishing convincente o un script malicioso. Esta nueva generación de actores de amenazas puede ahora agilizar la instrumentalización de la IA.
En octubre de 2023, IBM publicó un informe que descubrió que la tasa de clics de un correo electrónico de simulación de phishing generado por IA era del 11 %, en comparación con el 14 % en el caso de los humanos. Sin embargo, aunque los humanos surgieron como los ganadores, la brecha se está cerrando rápidamente a medida que avanza la tecnología. Dado el auge de modelos más sofisticados, que pueden imitar mejor la inteligencia emocional y crear contenido personalizado, es muy probable que el contenido de phishing creado por IA se vuelva igual de convincente, si no más. Eso sin tener en cuenta que puede llevar horas crear un correo electrónico de phishing convincente, mientras que solo lleva unos minutos con la IA generativa.
Los correos electrónicos rutinarios de phishing ya no serán fácilmente identificables por errores ortográficos y gramaticales u otras señales obvias. Eso no significa que los estafadores de ingeniería social se estén volviendo más inteligentes, pero la tecnología disponible para ellos sin duda sí.
Además, los estafadores pueden extraer fácilmente datos de las marcas que intentan suplantar y luego introducir esos datos en un LLM para crear contenido de phishing que incorpore el tono, la voz y el estilo de una marca legítima. Además, dada nuestra tendencia a compartir demasiada información en las redes sociales, el rastreo de datos mejorado con IA es cada vez más eficaz a la hora de convertir nuestras identidades en línea en perfiles íntimos para ataques altamente personalizados.
La mayoría de los modelos populares de IA generativa son de código cerrado y tienen sólidas barreras de seguridad incorporadas. ChatGPT no generará deliberadamente un correo electrónico de phishing, y Midjourney no generará a sabiendas una imagen comprometedora que podría usarse para chantaje. Dicho esto, incluso las plataformas más estrictamente supervisadas y protegidas pueden ser objeto de abusos. Por ejemplo, las personas han estado tratando de hacer jailbreak a ChatGPT desde que salió, utilizando las llamadas instrucciones DAN (hacer cualquier cosa ahora) para que actúe sin filtros ni restricciones.
Ahora estamos en medio de una carrera armamentista entre los desarrolladores de modelos y aquellos que buscan llevarlos más allá de sus límites predefinidos. En su mayor parte, esto se reduce a la curiosidad y la experimentación, incluso entre los profesionales de la ciberseguridad que quieren saber a qué se enfrentan.
El mayor riesgo radica en el desarrollo de modelos de código abierto, como Stable Diffusion para la síntesis de imágenes o GPT4ALL para la generación de texto. Los LLM de código abierto pueden personalizarse, expandirse y liberarse de cualquier limitación arbitraria. Además, estos modelos pueden ejecutarse en cualquier computadora de escritorio equipada con una tarjeta gráfica suficientemente potente, lejos de las miradas vigilantes de la nube. Aunque los modelos personalizados y de código abierto suelen requerir cierto grado de conocimientos técnicos, especialmente en lo que respecta a su entrenamiento, desde luego no se limitan a expertos en desarrollo de malware o ciencia de datos.
Los sindicatos de delito cibernético ya están desarrollando sus propios modelos personalizados y vendiéndolos a través de la dark web. WormGPT y FraudGPT son dos ejemplos de chatbots utilizados para desarrollar malware o llevar a cabo ataques de hacking. Y, al igual que los modelos convencionales, están en constante desarrollo y perfeccionamiento.
En febrero de 2024, CNN informó que un empleado del departamento financiero de una empresa multinacional fue estafado y pagó 25 millones de dólares a unos defraudadores. Este no era el tipo de correo electrónico de phishing que la mayoría conocemos. Más bien, era un video deepfake en el que el estafador usaba IA generativa para crear un avatar que suplantaba de manera convincente al director financiero de la empresa durante una conferencia telefónica en vivo.
Se podría pensar que un ataque de este tipo parece sacado directamente de un escenario distópico de ciencia ficción. Después de todo, lo que parecía extravagante hace solo unos años ahora está en camino de convertirse en el vector de ataque número uno para ataques de ingeniería social sofisticados y altamente dirigidos.
Un informe reciente encontró que solo en 2023 se registró un aumento del 3000 % en los intentos de fraude con deepfake, y no hay razón para creer que esta tendencia no continuará hasta 2024 y después. Al fin y al cabo, la tecnología de intercambio de rostros está ahora fácilmente disponible y, como cualquier otra forma de IA generativa, avanza a un ritmo casi imposible de seguir para los legisladores y profesionales de la seguridad informática.
Lo único que frena las estafas con videos deepfake son los importantes requisitos informáticos que implican, especialmente en el caso de las estafas realizadas en tiempo real. Una preocupación más inmediata, especialmente en el futuro previsible, es la capacidad de la IA generativa para imitar voces y estilos de escritura. Por ejemplo, VALL-E de Microsoft puede crear un clon convincente de la voz de alguien a partir de una grabación de audio de tres segundos. Ni siquiera la escritura a mano es inmune a los deepfakes.
Como casi cualquier innovación disruptiva, la IA generativa puede ser una fuerza para bien o para mal. La única forma viable para que los profesionales de seguridad de la información se mantengan al día es incorporar la IA en sus procesos de detección y mitigación de amenazas. Las soluciones de IA también proporcionan las herramientas necesarias para mejorar la velocidad, precisión y eficiencia de los equipos de seguridad. La IA generativa puede ayudar específicamente a los equipos de seguridad de la información en operaciones como el análisis de malware, la detección y prevención de phishing y la simulación y entrenamiento de amenazas.
La forma más eficaz de adelantarse a los delincuentes cibernéticos es pensar como ellos, de ahí el valor del equipo rojo y la seguridad ofensiva. Al utilizar un conjunto de herramientas y procesos similares a los utilizados por los actores de amenazas, los profesionales de seguridad de la información están mejor equipados para mantenerse un paso adelante.
Al comprender cómo funciona la tecnología y cómo la utilizan los actores maliciosos, las empresas también pueden capacitar a sus empleados de manera más eficaz para detectar los medios sintéticos. En una era en la que es más fácil que nunca suplantar y engañar, nunca ha sido más importante defender la realidad contra la creciente ola de falsedades.
Si desea aprender más sobre la ciberseguridad en la era de la IA generativa y cómo la IA puede mejorar las capacidades de sus equipos de seguridad, lea la guía detallada de IBM.