Con una Inteligencia Artificial (IA) cada vez más presente en nuestras vidas, las entidades y ciudadanos empiezan a plantearse si los peligros que esta tecnología plantea pueden llegar a ser tan grandes como sus beneficios. En el campo de la ciberseguridad, la IA puede desempeñar un papel muy constructivo, pero también destructivo, sirviendo tanto para mejorar la ciberdefensa como para intentar evadir los sistemas de protección. Y es que imaginarse un futuro en el que los ciberdelincuentes puedan valerse de esta tecnología para apoyar sus ataques o incluso que la IA de manera autónoma pueda realizar ataques, da bastante miedo.
Dentro de los peligros que la IA presenta para la ciberseguridad, uno de los que más preocupa es la posibilidad de que se generalicen los ciberataques a infraestructuras críticas, como son los sistemas de generación de energía y la red eléctrica, los hospitales, los servicios de salud, la cadena de suministro global e incluso las cadenas de suministro digitales y la propia Internet. Como señala Josep Albors, director de Investigación y Concienciación de ESET España “En función de las necesidades específicas, los recursos y el nivel de desarrollo de una nación, las infraestructuras críticas representan todos los sistemas, redes y activos esenciales, cuyo funcionamiento continuo es necesario para garantizar la seguridad de un Estado, su economía y la salud o seguridad públicas. Dado que la idea que subyace a los ataques es debilitar a los adversarios paralizando su actividad cotidiana, una herramienta de IA eficaz podría, hipotéticamente, ayudar a los actores maliciosos a cometer ataques, o incluso aumentar el número de ciberdelincuentes, al facilitar la programación del malware. Sin embargo, no todo el mundo comparte la misma opinión“.
¿Puede la IA colaborar en la creación de ciberataques?
Todavía no nos encontramos cerca de un malware generado completamente por IA, aunque ChatGPT es bastante bueno en la sugerencia de código generando ejemplos y fragmentos, depurando, optimizando e incluso automatizando la documentación. Por ello, ChatGPT podría utilizarse como una herramienta práctica para ayudar a los programadores en la creación de malware, pero no todavía como un actor relevante ya que comete errores, crea respuestas falsas y no es lo suficientemente fiable como para desplegar ciberamenazas.
Desde ESET se destacan tres áreas en las que los modelos lingüísticos sí podrían tener repercusión:
- Suplantaciones de identidad cada vez más convincentes: al explorar grandes cantidades de fuentes de datos y combinarlas casi a la perfección para crear mensajes de correo electrónico específicamente diseñados, es cada vez más difícil detectar pistas sobre intenciones maliciosas en estos mensajes y las víctimas tendrán más difícil no caer en este tipo de ingeniería social. Igualmente, tampoco podrán detectar los intentos de phishing simplemente por errores lingüísticos chapuceros, ya que los mensajes podrían tener una gramática mucho más convincente. El spear-phishing podría ser incluso más convincente, ya que los correos electrónicos o mensajes hechos a medida, incluso con desencadenantes emocionales personalizados, podrían ser más fáciles de construir gracias a la ayuda de la IA. Estas capacidades se verán reforzadas con opciones de generación de texto multilingüe, funcionando a una escala más amplia y global, lo que en caso de atacar infraestructuras críticas de varios estados a la vez sería de gran utilidad.
- Automatización de las negociaciones de rescate: los operadores de ransomware que hablan con fluidez resultan poco naturales, pero implementando la capacidad de lenguaje natural de ChatGPT a estas comunicaciones se podría reducir la carga de trabajo de los atacantes para parecer legítimos durante las negociaciones. Igualmente, este uso también repercutiría en una minimización de errores que podría permitir a los defensores localizar las verdaderas identidades y ubicaciones de los operadores. Además, gracias a la mayor facilidad para generar vídeo y voz con IA los actores maliciosos podrían convertirse en cualquier persona, ocultando su identidad con mayor eficacia. De hecho, la preocupación por la IA se ha extendido tanto en este ámbito que muchos profesionales ya estipulan en sus contratos la prohibición de utilizar su trabajo con fines relacionados con la Inteligencia Artificial. Un ejemplo es el polémico vídeo generado íntegramente por IA en el que los presidentes Biden, Trump y Obama discuten sobre un videojuego.
- Mejores estafas telefónicas: con la generación de un lenguaje natural cada vez más cercano al real, los estafadores sonarán mucho más cercanos. Este es uno de los primeros pasos al generar una estafa de confianza, localizar el perfil del atacado y conseguir aportarle la mayor seguridad posible al hacerse pasar por personalidades lo más cercanas a los usuarios. Aunque los estafadores consigan generar la cadencia de voz natural de una persona, los contenidos generados por IA hoy en día continúan siendo artificiales, lo que significa que a pesar de que estas voces, vídeos o texto parezcan legítimos, todavía albergan algunos errores o problemas específicos que son fáciles de detectar.
Sin embargo, todo esto no significa que la IA generativa no se pueda utilizar para diferentes tareas laborales, pero sí que se recomienda comprobar la veracidad de la información que se proporciona.
Infraestructuras críticas frente a la IA, la necesidad de una legislación emergente
A medida que la IA empiece a desempeñar un papel cada vez más importante en la ciberseguridad, las empresas y los gobiernos tendrán que adaptarse y aprender a utilizarla en su propio beneficio, ya que los delincuentes intentarán hacer lo mismo. Según un informe de julio de 2022 de Acumen Research and Consulting, el mercado mundial de la IA ascendía a 14.900 millones de dólaresen 2021 y se calcula que alcanzará los 133.800 millones de dólares en 2030.
Gracias al creciente uso del IoT y otros dispositivos conectados, los servicios de seguridad basados en la nube podrían ofrecer nuevas oportunidades para el uso de la IA. Los antivirus, la prevención de pérdida de datos, la detección de fraudes, la gestión de identidades y accesos, los sistemas de detección/prevención de intrusiones y los servicios de gestión de riesgos y cumplimiento ya utilizan herramientas como el aprendizaje automático para crear una protección más resistente.
Por otro lado, los ciberdelincuentes también podrían utilizar la IA en su beneficio. Cuando la Inteligencia Artificial esté lo suficientemente desarrollada, podrían utilizarla fácilmente para identificar patrones en los sistemas informáticos y revelar debilidades en el software o en los programas de seguridad, lo que les permitiría explotar esas debilidades recién descubiertas.
De esta forma, las infraestructuras críticas podrían convertirse en uno de los principales objetivos para estos atacantes. Con la IA atacando y defendiendo a la vez, los agentes de seguridad y los gobiernos tendrán que trabajar para anticiparse a posibles escenarios. La Unión Europea ya está intentando evaluar los riesgos proponiendo la Ley de IA para regular su uso en Europa. Esta legislación clasifica las diferentes herramientas de IA según su nivel de riesgo percibido, de bajo a inaceptable para que los gobiernos y las empresas que utilicen estas herramientas se apliquen las diferentes obligaciones pertinentes en función del nivel de riesgo.
Quienes utilicen IA de alto riesgo probablemente se verán obligados a completar rigurosas evaluaciones, registrar sus actividades y poner los datos a disposición de las autoridades para su escrutinio, lo que aumentará los costes de cumplimiento para las empresas. En caso de que una empresa infrinja las normas, la multa probablemente rondaría los 30 millones de euros o hasta el 6% de sus beneficios globales.