La pregunta a la que se enfrentan los investigadores que buscan evitar los peores excesos del cibercrimen es si la inteligencia artificial (IA) y el machine learning finalmente podrán con los hackers.
La historia del panorama de amenazas durante los últimos 20 años ha sido una historia de atacantes versus defensores; una carrera armamentista innovadora sin vencedores a largo plazo. La pregunta a la que se enfrentan los investigadores que buscan evitar los peores excesos del underground del cibercrimen es si la inteligencia artificial (IA) y el machine learning finalmente podrán con los hackers.
Si bien la mayoría de los proveedores de seguridad están aprovechando estas tecnologías emergentes para ayudar a detectar mejor el malware y el comportamiento malicioso, hay una gran cantidad de nuevas oportunidades al otro lado para ayudar a los ciberdelincuentes a eludir las defensas tradicionales y crear ataques más sutiles y con más astucia.
Spear-phishing a escala
Hasta ahora, los ataques dirigidos, por su propia naturaleza, se han limitado a un pequeño número de usuarios dentro de una organización. A un atacante le lleva tiempo realizar un reconocimiento, entender el objetivo, cómo funciona y en qué es probable que los usuarios hagan clic. La IA y el machine learning, en combinación con otras herramientas, ofrecen la posibilidad de poder hacer esto a gran escala.
José de la Cruz, director técnico de Trend Micro Iberia
“La carrera armamentista de la ciberseguridad ha sido una constante . Con el surgimiento de la IA y el machine learning, los riesgos son mayores que nunca”
Se podrían desarrollar herramientas para asimilar en tiempo real datos de LinkedIn y de terceros en masa, ejecutar análisis predictivos y automatizar campañas generalizadas de spear-phishing con cada objetivo, recibiendo un correo electrónico diferente dependiendo de su perfil. Actualmente, Trend Micro utiliza la IA en su función de ADN del estilo de escritura para ayudar a comprender cómo los usuarios redactan correos electrónicos con el fin de evitar ataques de suplantación de identidad (spoofing) como ocurre con las estafas BEC, también conocidas como el “timo del jefe”. Pero el mismo tipo de tecnología de IA podría ser teóricamente utilizada por los ciberdelincuentes para imitar mejor a usuarios específicos y engañar a los objetivos para que hagan clic.
Los hackers incluso pueden usar la navegación web y otros datos para perfilar y predecir el comportamiento online de las personas, con el objetivo de insertar malware o correos electrónicos de phishing en el momento adecuado. Si saben que un usuario visita sitios de comercio electrónico específicos en la hora del almuerzo, por ejemplo, pueden enviar un correo electrónico de phishing a su bandeja de entrada a las 13:50 horas, ofreciendo un descuento si hacen clic.
Cuando las campañas de ataque se vuelven difíciles de detectar, se convierten en una pesadilla contra la que protegerse, tanto desde una perspectiva tecnológica como en términos de capacitación de los usuarios finales.
Bajo el radar
Esta capacidad de controlar el comportamiento y detectar patrones que los humanos no pueden, dará a los hackers una ventaja al ayudarles a llevar a cabo el robo de datos mientras se mantienen ocultos de las últimas tecnologías de seguridad. En la actualidad, las herramientas de los proveedores supervisan varios tipos de actividades inusuales que pueden indicar una amenaza. Pero ¿y si los ciberdelincuentes pudieran ocultar su actividad para que no parezca en absoluto inusual? Entonces es como tratar de encontrar una aguja en un pajar.
Por ejemplo, la supervisión de los flujos de datos de la empresa podría revelar el momento perfecto para extraer un montón de datos robados, por ejemplo. Analizar y predecir cuándo se producirán las actualizaciones de Windows podría ofrecer una oportunidad ideal para aprovechar el tiempo de inactividad del sistema, para instalar malware o moverse lateralmente dentro de las redes. Si la seguridad moderna trata de buscar anomalías, ¿qué sucede cuando no hay ninguna? Efectivamente, los atacantes se están escondiendo a plena vista.
De momento, y por fortuna, la tecnología no ha llegado todavía ahí. Existen servicios cloud que los grupos de ciberdelincuentes pueden alquilar para almacenamiento escalable y potencia de computación a precios relativamente modestos. Incluso hay capacidades de análisis predictivo. Pero pueden tener problemas para obtener los grandes volúmenes de datos necesarios para construir estos modelos desde el interior de la organización objetivo. Sin embargo, cuando se trata de fuentes externas, este problema no existe.
Uniendo los puntos
Sin embargo, una vez que los hackers logren conectar los puntos y cerrar estas brechas tecnológicas, puede haber problemas. Las herramientas maliciosas de IA inevitablemente se abrirán paso en la clandestinidad del cibercrimen “como servicio”, donde se democratizarán ante las masas, al igual que lo hiciera antes el ransomware, los kits de exploits y los troyanos bancarios.
La IA podría incluso utilizarse en el futuro para ayudar a falsificar vídeos y audios de líderes empresariales, políticos y otros. Imagine un ataque entrante al estilo BEC, pero esta vez en lugar de un correo electrónico es una llamada de FaceTime en la que el CEO se dirige a los equipos financieros “en persona” para solicitar transferir dinero fuera de la empresa. O también puede darse el caso de utilizar imágenes falsas altamente dañinas de un candidato presidencial para que aparezcan horas antes de unas elecciones.
La carrera armamentista de la ciberseguridad ha sido una constante durante muchos años, pero con el surgimiento de la IA y el machine learning, los riesgos son mayores que nunca. Para los proveedores, la única manera de mantenerse en la cima pasa por lanzar una red lo más amplia posible en la investigación de amenazas con visión de futuro y nunca darse por vencido.
José de la Cruz, director técnico de Trend Micro Iberia