Una edad de oro de la IA… ¿o amenazas a la seguridad?

¿Estamos en la era dorada de la inteligencia artificial? Es difícil hacer predicciones, y probablemente desacertado. ¿Quién quiere predecir el futuro de una tecnología tan nueva?

Sin embargo, podemos decir algunas cosas con certeza. Se está haciendo mucho por la aplicación de la IA a los trabajos creativos, desde la actuación de voz hasta los primeros borradores de guiones. Pero es probable que la IA sea más útil cuando se trata de trabajo pesado. Esta es una buena noticia para los desarrolladores, si la promesa coincide con los primeros experimentos: los primeros borradores del código se pueden crear fácilmente y estar listos para que los desarrolladores los ajusten y repita.

Sin embargo, es importante recordar que no todos los codificadores trabajan para un negocio legítimo. Así como los actores de amenazas a la ciberseguridad han emulado a sus objetivos al volverse más empresariales, también están adoptando nuevas tecnologías y técnicas. Podemos esperar que la IA ayude en el desarrollo de malware y otras amenazas en los próximos años, ya sea que estemos entrando en una era dorada de la IA o no.

Redacción de códigos y estafas

Una tendencia que hemos visto en los últimos años es un aumento de las ofertas "como servicio". Los primeros piratas informáticos eran manipuladores y creadores de travesuras, engañando a los sistemas telefónicos o provocando el caos principalmente como un ejercicio de diversión. Esto ha cambiado fundamentalmente. Los actores de amenazas son profesionales y, a menudo, venden sus productos para que otros los usen.

La IA encajará muy bien en esta forma de trabajar. Capaz de crear código para abordar problemas específicos, la IA puede modificar el código para detectar vulnerabilidades o tomar el código existente y cambiarlo, por lo que no es tan fácil de detectar por las medidas de seguridad que buscan patrones específicos.

Pero las posibilidades de mal uso de la IA no terminan ahí. Muchos correos electrónicos de phishing son detectados por herramientas de filtrado efectivas y terminan en carpetas de correo no deseado. Los que sí llegan a la bandeja de entrada a menudo son estafas muy evidentes, escritos tan mal que rayan en lo incomprensible. Pero la IA podría romper este patrón, creando miles de correos electrónicos plausibles que pueden evadir la detección y estar lo suficientemente bien escritos como para engañar tanto a los filtros como a los usuarios finales.

El spear-phishing, la forma más específica de este ataque, también podría verse revolucionado por esta tecnología. Claro, es fácil ignorar un correo electrónico de su jefe que le pide que envíe dinero en efectivo o compre tarjetas de regalo con urgencia: la capacitación en seguridad cibernética ayuda a los empleados a evitar este tipo de estafa. Pero, ¿qué pasa con una llamada telefónica o un chat de video falsos? La IA tiene el potencial de tomar apariciones en transmisiones y podcasts y convertirlos en un simulacro convincente, algo mucho más difícil de ignorar.

Luchando contra los ciberataques de IA

Hay dos formas principales de luchar contra los beneficios que la IA otorgará al enemigo: mejor IA y mejor entrenamiento — Y ambos serán necesarios.

El advenimiento de esta nueva generación de IA ha iniciado una nueva carrera armamentista. Así como los ciberdelincuentes lo usan para evolucionar sus ataques, los equipos de seguridad también necesitarán usarlo para evolucionar sus defensas.

Sin IA, las defensas se basan en personas con exceso de trabajo y en el monitoreo de ciertos patrones preprogramados para prevenir ataques. Las herramientas defensivas de IA podrán predecir los vectores de ataque y señalar áreas sensibles de la red y los sistemas. También podrán analizar código malicioso, lo que permitirá una mejor comprensión de cómo funcionan los nuevos ataques y cómo se pueden prevenir.

La IA también podría funcionar, en un apuro, como una parada de emergencia, desactivando la red al detectar una infracción y bloqueando todo el sistema. Si bien no es ideal desde la perspectiva de la continuidad del negocio, esto podría ser mucho menos dañino que una violación de datos.

Pero luchar contra la IA con IA no es la única respuesta. También necesitamos inteligencia humana. No importa qué tan inteligente y específico sea, la mejor defensa contra un ataque de phishing es un empleado o cliente que sabe qué buscar y es lo suficientemente sospechoso como para no morder el anzuelo. La implementación de políticas de seguridad sólidas y las mejores prácticas de higiene cibernética seguirán siendo clave para defenderse de los ataques.

Esto significa que será necesario actualizar el entrenamiento para incluir los signos de un ataque de IA... cualesquiera que sean. La capacitación deberá evolucionar con la IA: un solo curso de capacitación cada pocos años ya no será suficiente cuando esa capacitación se desactualice rápidamente.

Si bien los posibles signos de un ciberataque impulsado por IA están cambiando rápidamente, en general, los ataques son:

• Rápido y escalable, explotando múltiples vulnerabilidades en un corto período de tiempo.
• Adaptativo y evasivo, cambiando tácticas y técnicas para evitar la detección y la respuesta.
• Dirigido y personalizado, utilizando IA para crear correos electrónicos de phishing convincentes o campañas de ingeniería social.
• Engañoso y manipulador, utilizando IA para crear contenido falso o alterado, como deepfakes, clonación de voz o generación de texto.
• Sigiloso y persistente, escondiéndose en la infraestructura de la red durante mucho tiempo sin ser notado.

Estos signos no son exhaustivos y es posible que algunos ataques impulsados ​​por IA no los muestren todos. Sin embargo, indican el nivel de amenaza que la IA representa para la ciberseguridad.

Para luchar eficazmente contra los ataques cibernéticos impulsados ​​por IA, las empresas deben pensar más allá de los malhechores individuales y prepararse para los ataques coordinados de actores patrocinados por el estado u organizaciones criminales que pueden usar IA para lanzar campañas sofisticadas utilizando un enfoque basado en el riesgo. También deben tener un estrategia proactiva que incluye auditorías de seguridad periódicas, copias de seguridad, cifrado y planes de respuesta a incidentes. Esto se logra más fácilmente obteniendo una certificación de seguridad conocida como PCI-DSS.

Finalmente, es imperativo que las organizaciones mejoren la seguridad cibernética de sus propios sistemas de IA asegurando su integridad, confidencialidad y disponibilidad, y mitigando los riesgos de ataques adversarios, envenenamiento de datos y robo de modelos.

Estas estrategias ayudarán a proteger las empresas, pero no deberían ser independientes: la seguridad debe ser colaborativa. Al colaborar con otras organizaciones, investigadores y autoridades para compartir información, mejores prácticas y fallas de las que se puede aprender, las empresas estarán mejor preparadas para la nueva ola de amenazas de seguridad de IA.

La IA es tanto una nueva amenaza como una continuación de amenazas más antiguas. Las empresas tendrán que evolucionar en la forma en que abordan las amenazas cibernéticas a medida que estas amenazas se vuelven más sofisticadas y más numerosas, pero muchos de los fundamentos siguen siendo los mismos. Obtener estos derechos sigue siendo fundamental. Los equipos de seguridad no necesitan alejarse de las viejas ideas, sino desarrollarlas para mantener sus negocios seguros.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/vulnerabilities-threats/a-golden-age-of-ai-or-security-threats-