COBERTURA #81Destacados

Ciberataques impulsados por la IA

La IA está transformando la forma de hacer las cosas a una velocidad impresionante. Actualmente, casi toda comunicación puede ser generada rápida y fácilmente con el uso de los grandes modelos lingüísticos de la IA (LLMs por sus siglas en inglés) como ChatGPT. Los Chatbots de LLMs pueden escribir cualquier tipo de comunicación, desde códigos informáticos hasta notas jurídicas (sin olvidar las tareas para el hogar de los estudiantes). Los LLMs pueden redactar cualquier tipo de comunicación personal. 

Adicionalmente, existe el desafío que presenta la gran cantidad de información introducida en estos productos digitales. 

Los empleados de las empresas de todo el mundo ingresan información privada y confidencial en ChatGPT, sin preocuparse por las  consecuencias. Como resultado, los LLMs se han convertido en fuentes de información privada que puede ser utilizada por los piratas informáticos.

De acuerdo con un estudio, casi el 5% de los empleados han ingresado información confidencial de una empresa en ChatGPT. Actualmente, este porcentaje ha aumentado considerablemente. En marzo de 2023, OpenIA filtró, accidentalmente, la información de pago de sus propios clientes a través del chatbot. De acuerdo con otro reporte, los documentos filtrados sugieren que el nuevo chatbot de Amazon, Amazon Q, puede ser víctima de engaños y revelar información privada de los clientes. .

La seguridad de los LLMs públicos es importante, dado su comportamiento impredecible y sus vulnerabilidades desconocidas. Si bien ChatGPT y otros LLMs cuentan con medidas de seguridad programadas para determinar el mal uso y la divulgación de datos confidenciales, estas pueden ser violadas fácilmente. 

No es difícil darse cuenta la manera en que esta funcionalidad puede ser utilizada por los ciberdelincuentes. El mensaje parecerá proceder de un proveedor conocido y será relacionado con algún problema informado. Todas las comunicaciones parecen auténticas y familiares, desde el logo hasta el lenguaje corporativo, otro ejemplo de la eficiencia electrónica de la automatización corporativa. Excepto que todo esto será falso, y las consecuencias podrán ser devastadoras. En teoría, cualquier comunicación electrónica es pasible de ser atacada. Ya no se necesitan conocimientos de idiomas ni de programación.

Con pérdidas promedio por eventos de seguridad en los Estados Unidos excediendo los US$ 4 millones por incidente, es de entender que el número y el alcance de estos ataques sólo podrá expandirse, ya que es cada vez más sencillo para los atacantes engañar a los usuarios. Las instituciones necesitarán mejorar significativamente sus defensas y sus procesos de seguridad. La capacitación regular y los ejercicios de seguridad de los empleados, incluyendo a los proveedores externos, a los contratistas y a otros con acceso, son fundamentales para el mantenimiento de un espacio laboral seguro. Los LLMs deberán ser aislados de los datos sensibles y los empleados no deberán compartir información privada en ninguno de ellos.

La autenticación multifactorial (MFA por sus siglas en inglés) debe ser implementada para todo aquel que cuente con credenciales de acceso. La MFA es una medida esencial de seguridad que garantiza que las credenciales que pudieran ser hackeadas no brinden ningún acceso. Las protecciones de la MFA deberán ser también implementadas en todos los procesos de pago. 

El liderazgo senior deberá enfatizar la necesidad de aprender y de seguir todos los procesos de seguridad, aun cuando sean poco convenientes o extraños.

El aprendizaje y el seguimiento de los procesos de seguridad y de las contraseñas son desafíos que, desde ya, demandan mucho tiempo, pero un programa de entrenamiento consistente y regular sigue siendo la manera más efectiva de asegurar la preparación de las personas ante el aumento de los peligros. Los ejercicios de phishing del “Sombrero blanco” prueban la conciencia de los empleados en relación con los correos electrónicos de phishing y así comprobar que sus respuestas sean las adecuadas. Compartir las métricas de desempeño – y un seguimiento más minucioso – puede dar más sustento a la necesidad de una vigilancia continua.  

Los recordatorios regulares también son importantes. Un estudio que analizó el impacto decreciente de la capacitación sobre phishing a lo largo del tiempo, concluyó que un ciclo de cuatro meses puede ser el punto óptimo para mantener la concientización.

El entrenamiento anti phishing es la base para todos aquellos empleados con acceso a los sistemas que contienen información sensible – por ejemplo, cualquier persona que cuente con credenciales de inicio de sesión.

De acuerdo con la Guardia Federal de Ciberseguridad y la Agencia de Infraestructura de Seguridad: “Los empleados deben ser capaces de identificar las señales básicas de los correos de phishing como, por ejemplo, requerimientos extraños y/o inesperados, la utilización de un lenguaje de alerta, o la necesidad de una acción inmediata. Estos mensajes parecen proceder de trabajadores de la misma empresa o de una fuente confiable. Los ciberdelincuentes han mejorado sus técnicas a través del tiempo, por lo que los empleados requieren de un entrenamiento reiterado  y regular para conocer todo lo relacionado con las nuevas estafas”. 

La reiteración y la actualización regular de los entrenamientos considera, principalmente, a los riesgos de los LLMs. Las estafas futuras no contendrán “las alertas” que servían de advertencias en el pasado, como por ejemplo, errores ortográficos o de tipeo. Las versiones de la IA son precisas y creadas cuidadosamente por analíticas conductuales. 

En un sentido más amplio, las amenazas a la seguridad planteadas por la IA requerirán una desconfianza mayor en relación con todas las comunicaciones que parezcan auténticas o virtualmente auténticas, y que parezcan “confiables”. 

Un concepto de seguridad que ha evolucionado últimamente para el abordaje de este problema es el de “confianza cero” – tratar todas las comunicaciones como si estuvieran dentro de un marco de violación de datos, siempre verificando la autenticidad y hasta el menor acceso requerido. El concepto de “confianza cero” ha ampliado su alcance , pudiendo ser aplicado a cualquier proceso que requiera seguridad.

Cuando una bandeja de entrada de correo electrónico es violada, el atacante obtiene una posición privilegiada e información en tiempo real relacionada con todo lo que sucede dentro de una empresa.

Mientras que el atacante no sea detectado, puede utilizar su posición “secreta” para aprender cómo funciona una empresa, enfocándose, principalmente, en los procesos de pago y a la exfiltración de información sensible. También, pueden hacerse pasar por un empleado, enviando correos electrónicos desde el buzón pirateado. Los piratas informáticos han utilizado este método para engañar a sus víctimas, haciéndoles  transferir sumas astronómicas. En teoría, un proceso de confianza cero debería exigir las comprobaciones y los controles suficientes como para evitar la mayor parte de estos ataques «man-in-the-middle», si no todos.

La implementación de la confianza cero significa agregar molestias y verificaciones dobles, y limitar significativamente los accesos institucionales. Las barreras son establecidas para asegurar la verificación de las identidades y de su confiabilidad.  Las contraseñas deben ser memorizadas y recicladas regularmente. Los empleados tendrán contraseñas y dispositivos de autenticación  y enfrentarán obstáculos más complejos para volver a trabajar en caso de olvidarlos. Si la confianza implícita es el proceso disponible más expeditivo, la confianza cero es su gran opuesto.

Así como con cualquier nuevo riesgo de seguridad, los presentados por los ataques de ingeniería social impulsados por la IA requerirán, inevitablemente, contramedidas adicionales y molestas para su abordaje.

Viendo el lado positivo, la IA puede ayudar en esta pelea. Cualquier proceso de ataque que haya sido automatizado es susceptible de ser detectado y detenido por las defensas automatizadas. Armados con el conocimiento de los patrones y de las características de los ataques, los sistemas defensivos de IA pueden analizar rápidamente grandes volúmenes de datos, detectando las actividades sospechosas y las amenazas en tiempo real. 

Pero los sistemas de defensa sólo pueden funcionar si son establecidos a tiempo y si son actualizados y parcheados de acuerdo con las amenazas actuales y con las vulnerabilidades conocidas.  Las personas y las empresas que se defienden de estos ataques tienen mucho trabajo por delante.

FUENTE: www.propertycasualty360.com