En el último Foro de Davos, la cita anual que reúne en esta localidad Suiza a líderes mundiales y las principales compañías del planeta, las amenazas a la ciberseguridad acapararon un gran protagonismo, con el foco puesto especialmente en su capacidad de comprometer la continuidad de las cadenas de suministro, el problema del ransomware y el riesgo que supone el uso fraudulento de la IA generativa.
En lo que respecta a esta última, los modelos de Inteligencia Artificial actuales ya están siendo explotados para hacer ataques de secuestro de datos más eficaces, que se sirven de las capacidades de la IA para encontrar vulnerabilidades indetectables para los humanos; o para optimizar las técnicas de ingeniería social empleadas en el phising que se utiliza como puerta de entrada en los sistemas; o bien para crear malware de intrusión que auto-modifica su código a tiempo real para evadir la detección.
Ciberataques con deepfakes
Aunque sin duda, la vertiente más espectacular de la nueva generación de ciberataques impulsados por IA es la creación de deepfakes, cuyo nivel de realismo ya ha sido capaz de provocar episodios inconcebibles hace poco tiempo, como el que supuso el robo de unos 24 millones de euros a una compañía de Hong Kong, al ser engañado uno de sus empleados en una videollamada con una recreación falsa de varios de sus jefes solicitándole que realizase una transferencia por ese importe.
Además, la capacidad para crear deepfakes cada vez más indistinguibles de los humanos que suplantan está aumentando exponencialmente, con compañías como Open AI aflorando sistemas como Zora, capaz de crear videos cuyo nivel de detallismo los hace indiferenciables de una filmación real, explicando precisamente sus potencialidades dañinas en usos indebidos que el modelo todavía no se haya lanzado como un producto abierto.
También, entrañan muchos riesgos para la creación de deepfakes las habilidades de sistemas de voz que van a estar pronto disponibles a nivel general como el de GPT-4o o el Gemini Live de Google, que en ‘demos’ en directo han demostrado poder mantener conversaciones naturales sin decalaje de tiempo en la interacción, interpretando emociones del interlocutor y fingiendo las propias, e incluso analizado y registrando cada detalle del entorno visual donde se encuentra el humano.
No hace falta sumar 1+1 para darnos cuenta que la confluencia de ambas capacidades, de generación de imagen y voz, puede dar lugar a falsificaciones indistinguibles, que lleven por ejemplo a que se repitan con más frecuencia incidentes que ahora resuenan anecdóticos como el de Hong Kong, cuando no mucho peores.
Amenazas clásicas que mutan: nuevas modalidades de ransomware y de ingeniería social
Aunque más allá del deepfake, hay amenazas ‘clásicas’ que no paran de mutar y hacerse más dañinas. Así, si volvemos al ransomware, no solo tenemos la ayuda que pueda prestar la IA para los ataques en la detección de vulnerabilidades en los sistemas de información, la depuración del malware utilizado o la mejora del phising que le sirve de puerta de entrada. También, están proliferando nuevas modalidades como el ransomware de doble extorsión, que obliga a pagar a las víctimas dos veces, para desencriptar la información cifrada primero, y después para no publicar o utilizar los posibles datos sensibles a los que el atacante haya accedido.
Asimismo, está surgiendo una nueva generación de ciberataques orientados a comprometer también las copias de seguridad de las organizaciones, lo que amenaza el backup que precisan para recuperar su información tras cualquier percance del tipo que sea. Incluso está emergiendo el ransomware orientado al servicio, con el que se busca atacar a los proveedores del mismo cuando son estos los que alojan el respaldo en servidores ajenos a la empresa. Por no hablar, de lo que pueden suponer estos ataques a la hora de comprometer la información de múltiples organizaciones a la vez.
Si nos enfocamos en la ciberseguridad de los particulares, la sofisticación de las amenazas aumenta igualmente sin el concurso de la IA, con la mera depuración de las técnicas de ingeniería social aplicadas desde siempre en este tipo de ataques, que ahora por ejemplo se aprovechan del propio miedo hacia ellos que comienza a permear entre la propia ciudadanía y la confianza que puede brindar la comprobación de que un número suplantado coincide con el de una oficina bancaria, para aducir en llamadas telefónicas supuestamente realizadas desde el propio banco ciberataques falsos que recomiendan transferir el dinero de la víctima a otra cuenta. Un caso del que se han recogido ya infinidad de testimonios, y que puede afectar a personas tanto en su dimensión de particulares como de miembros de un departamento de finanzas o contabilidad de una empresa.
Incremento de la percepción del riesgo
Este panorama de ciberamenazas explica que entre las grandes compañías como las que estuvieron en Davos cale la percepción de que van a recibir ciberataques sí o sí, y que la cuestión estaría tan solo en dilucidar cuándo y cómo. Además, como sabemos, el riesgo de ataque es transversal y afecta desde a instituciones públicas (ahí tenemos casos recientes como el del Ayuntamiento de Sevilla) hasta Pymes.
De hecho, las pequeñas empresas están en la diana de los ciberdelicuentes desde siempre por la presunción de una menor preparación para afrontarlo, incardinada en lo que resulta el terreno más fértil para que se produzcan ataques: la ausencia de percepción de riesgo, y por tanto de lo que supone la base más firme para la adopción de buenas prácticas individuales de ciberseguridad: la concienciación del nivel de devastación que puede conllevar una intrusión exitosa para un negocio, abocándolo en el peor de los casos a la extinción.
No se trata de esparcir pesimismo, sino de concienciar sobre la necesidad de prepararse para lo peor para poder permitir que suceda lo mejor, que en términos de ciberseguridad es que se preserve la integridad de los sistemas TI, y que no se vea amenazada la información sensible que asegura tanto la continuidad de operaciones como la indemnidad de los datos personales que se custodian de los clientes o usuarios.
Ello requiere la monitorización continua de amenazas, ya sean viejas o nuevas, el análisis permanente de riesgos y vulnerabilidades, el diseño de estrategias integrales que incluyan desde darle carta de naturaleza a la ciberseguridad como vertiente esencial en los planes estratégicos de las organizaciones, hasta la creación de planes de respuesta a incidentes, adaptables a los tipos de ciberataques que van surgiendo, y que incluyan soluciones de respaldo que puedan asegurar la indemnidad de las copias que ahora están especialmente en el punto de mira como veíamos.
A esto, hay que añadir la potenciación de la figura del CISO como responsable de la ciberseguridad de la compañía, ya se trate de un puesto interno o cubierto mediante un servicio as a service. Y por supuesto, el uso de nuevas herramientas emergentes, que por ejemplo integren capacidades IA para optimizar la detección de amenazas y poder articular una respuesta más rápida, ya que al igual que la Inteligencia Artificial es un recurso para la ciberdelincuencia lo es también para la protección cibernética.
