Seguridad digital Un nuevo documento técnico de ESET descubre los riesgos y oportunidades de la inteligencia artificial para los ciberdefensores 28 de mayo de 2024 • , 5 min. leer La inteligencia artificial (IA) es el tema del día, y lo último y lo mejor en tecnología de IA atraen una cobertura noticiosa sin aliento. Y probablemente pocas industrias vayan a ganar tanto, o posiblemente verse tan afectadas, como la ciberseguridad. Contrariamente a la creencia popular, algunos en el campo han estado utilizando la tecnología de alguna forma durante más de dos décadas. Pero el poder de la computación en la nube y los algoritmos avanzados se están combinando para mejorar aún más las defensas digitales o ayudar a crear una nueva generación de aplicaciones basadas en IA, que podrían transformar la forma en que las organizaciones protegen, detectan y responden a los ataques. Por otro lado, a medida que estas capacidades se vuelvan más baratas y accesibles, los actores de amenazas también utilizarán la tecnología en ingeniería social, desinformación, estafas y más. Un nuevo documento técnico de ESET pretende descubrir los riesgos y oportunidades para los ciberdefensores. Una breve historia de la IA en la ciberseguridad Los modelos de lenguajes grandes (LLM, por sus siglas en inglés) pueden ser la razón por la que las salas de juntas de todo el mundo están llenas de conversaciones sobre la IA, pero la tecnología ha tenido buen uso en otros sentidos durante años. ESET, por ejemplo, implementó por primera vez la IA hace más de un cuarto de siglo a través de redes neuronales en un intento por mejorar la detección de macrovirus. Desde entonces, ha utilizado la IA de diversas formas para ofrecer: Diferenciación entre muestras de código limpio y malicioso Clasificación, clasificación y etiquetado rápidos de muestras de malware en masa Un sistema de reputación en la nube, que aprovecha un modelo de aprendizaje continuo a través de datos de capacitación Protección de endpoints con alta detección y bajas tasas de falsos positivos, gracias a una combinación de redes neuronales, árboles de decisión y otros algoritmos. Una poderosa herramienta de espacio aislado en la nube impulsada por detección, desempaquetado y escaneo de aprendizaje automático de múltiples capas, detección experimental y análisis profundo del comportamiento. Nueva protección para la nube y los terminales mediante modelos de IA transformadores XDR que ayudan a priorizar las amenazas correlacionando, clasificando y agrupando grandes volúmenes de eventos ¿Por qué los equipos de seguridad utilizan la IA? Hoy en día, los equipos de seguridad necesitan más que nunca herramientas eficaces basadas en inteligencia artificial, gracias a tres factores principales: 1. La escasez de habilidades continúa afectando duramente. En el último recuento, había un déficit de alrededor de cuatro millones de profesionales de ciberseguridad en todo el mundo, incluidos 348.000 en Europa y 522.000 en América del Norte. Las organizaciones necesitan herramientas para mejorar la productividad del personal que tienen y brindar orientación sobre el análisis y la solución de amenazas en ausencia de colegas de alto nivel. A diferencia de los equipos humanos, la IA puede funcionar las 24 horas del día, los 7 días de la semana, los 365 días del año y detectar patrones que los profesionales de la seguridad podrían pasar por alto. 2. Los actores de amenazas son ágiles, decididos y cuentan con buenos recursos. Mientras los equipos de ciberseguridad luchan por reclutar, sus adversarios van viento en popa. Según una estimación, la economía del cibercrimen podría costarle al mundo hasta 10,5 billones de dólares anuales para 2025. Los actores de amenazas en ciernes pueden encontrar todo lo que necesitan para lanzar ataques, incluido en ofertas y kits de herramientas ya preparados “como servicio”. Los corredores externos ofrecen acceso a organizaciones previamente violadas. E incluso actores estatales-nación se están involucrando en ataques con motivación financiera, sobre todo Corea del Norte, pero también China y otras naciones. En estados como Rusia, se sospecha que el gobierno fomenta activamente el hacktivismo antioccidental. 3. Lo que está en juego nunca ha sido tan grande A medida que la inversión digital ha aumentado a lo largo de los años, también lo ha hecho la dependencia de los sistemas de TI para impulsar el crecimiento sostenible y la ventaja competitiva. Los defensores de las redes saben que si no previenen, detectan y contienen rápidamente las ciberamenazas, su organización podría sufrir importantes daños financieros y de reputación. Una filtración de datos cuesta hoy una media de 4,45 millones de dólares. Pero una infracción grave de ransomware que implique interrupción del servicio y robo de datos podría afectar mucho más. Una estimación afirma que solo las instituciones financieras han perdido 32 mil millones de dólares en tiempo de inactividad debido a la interrupción del servicio desde 2018. ¿Cómo utilizan los equipos de seguridad la IA? Por lo tanto, no sorprende que las organizaciones busquen aprovechar el poder de la IA para ayudarlas a prevenir, detectar y responder a las ciberamenazas de manera más efectiva. ¿Pero exactamente cómo lo están haciendo? Correlacionando indicadores en grandes volúmenes de datos para identificar ataques. Identificando códigos maliciosos a través de actividades sospechosas que se destacan de la norma. Y ayudando a los analistas de amenazas mediante la interpretación de información compleja y la priorización de alertas. A continuación se muestran algunos ejemplos de usos positivos actuales y futuros de la IA: Inteligencia de amenazas: los asistentes de GenAI con tecnología LLM pueden simplificar lo complejo, analizando informes técnicos densos para resumir los puntos clave y las conclusiones prácticas en un lenguaje sencillo para los analistas. Asistentes de IA: incorporar “copilotos” de IA en los sistemas de TI puede ayudar a eliminar configuraciones erróneas peligrosas que, de otro modo, expondrían a las organizaciones a ataques. Esto podría funcionar tanto para sistemas de TI generales, como plataformas en la nube, como para herramientas de seguridad como firewalls, que pueden requerir la actualización de configuraciones complejas. Incrementar la productividad del SOC: los analistas del Centro de operaciones de seguridad (SOC) de hoy están bajo una tremenda presión para detectar, responder y contener rápidamente las amenazas entrantes. Pero el tamaño de la superficie de ataque y la cantidad de herramientas que generan alertas a menudo pueden resultar abrumadores. Significa que las amenazas legítimas pasan desapercibidas mientras los analistas pierden el tiempo con falsos positivos. La IA puede aliviar la carga contextualizando y priorizando dichas alertas, y posiblemente incluso resolviendo alertas menores. Nuevas detecciones: Los actores de amenazas están en constante evolución en sus técnicas y procedimientos tácticos (TTP). Pero al combinar indicadores de compromiso (IoC) con información disponible públicamente y fuentes de amenazas, las herramientas de inteligencia artificial podrían buscar las últimas amenazas. ¿Cómo se utiliza la IA en los ciberataques? Desafortunadamente, los malos también han puesto sus miras en la IA. Según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la tecnología «aumentará la amenaza global de ransomware» y «casi con certeza aumentará el volumen y el impacto de los ciberataques en los próximos dos años». ¿Cómo utilizan actualmente los actores de amenazas la IA? Considere lo siguiente: Ingeniería social: uno de los usos más obvios de GenAI es ayudar a los actores de amenazas a crear campañas de phishing a escala altamente convincentes y casi gramaticalmente perfectas. BEC y otras estafas: una vez más, la tecnología GenAI se puede implementar para imitar el estilo de escritura de una persona individual o corporativa específica, para engañar a una víctima para que transfiera dinero o entregue datos o inicios de sesión confidenciales. También se podrían implementar audio y vídeo deepfake con el mismo propósito. El FBI ha emitido múltiples advertencias sobre esto en el pasado. Desinformación: GenAI también puede eliminar el trabajo pesado de la creación de contenido para operaciones de influencia. Un informe reciente advirtió que Rusia ya está utilizando este tipo de tácticas, que podrían replicarse ampliamente si tienen éxito. Los límites de la IA Para bien o para mal, la IA tiene sus limitaciones en la actualidad. Puede arrojar altas tasas de falsos positivos y, sin conjuntos de entrenamiento de alta calidad, su impacto será limitado. A menudo también se requiere supervisión humana para comprobar que la salida sea correcta y entrenar los propios modelos. Todo apunta al hecho de que la IA no es una solución milagrosa ni para los atacantes ni para los defensores. Con el tiempo, sus herramientas podrían enfrentarse entre sí: una busca encontrar agujeros en las defensas y engañar a los empleados, mientras que la otra busca signos de actividad maliciosa de IA. Bienvenidos al inicio de una nueva carrera armamentista en materia de ciberseguridad. Para saber más sobre el uso de la IA en ciberseguridad, consulte el nuevo informe de ESET