Si ayer planteábamos si es posible un “Día cero”, como el de la serie de Netflix protagonizada por Robert De NIro, que se enfoca en las vulnerabilidades de las infraestructuras críticas de los países, hoy nos vamos a centrar en algo más cercano y que puede afectar a tu propia empresa.
Las empresas son vulnerables a riesgos de la IA de los que todavía no saben defenderse
La verdad es que, en la actualidad, cualquiera puede convertirse en ciberdelincuente, aunque no tenga ni idea de tecnología. La inteligencia artificial [IA] se ha convertido en la aliada del crimen. Así que, hoy te contamos cuáles son los riesgos que supone para las empresas.
Riesgos de la inteligencia artificial
Porque “los beneficios de adoptar la IA pueden ser considerables, pero los ciber-riesgos de incorporar estas tecnologías en una organización no siempre son tenidos en cuenta desde el inicio”.
Esa es la advertencia del informe IA y ciberseguridad: equilibrar riesgos y recompensas, publicado por el World Economic Forum en colaboración con la universidad de Oxford.
Los ciberdelincuentes están usando la IA para que sus ataques sean más eficaces
Ataque y defensa
La investigación destapa los riesgos de la IA para las empresas y cómo pueden “encontrarse con que son vulnerables a nuevas amenazas de las que no saben todavía cómo defenderse”.
El documento también advierte de que los ciberdelincuentes “están usando la IA para incrementar su capacidad y conseguir que sus tácticas, técnicas y procedimientos sean más potentes y los ataques, más eficaces”.
En la otra cara de la moneda, quienes están en el lado de la defensa aplican esta tecnología “para incrementar su capacidad; facilitar una prevención más amplia; detectar las amenazas de forma más exacta; generar remedios autónomos y más rápidos; y respuestas más eficaces a los incidentes”.
Consecuencias
La suma de ambos factores tiene como consecuencia que “el uso de la IA está creando una superficie de ataque expandida que podría ser utilizada por quienes crean las amenazas”.
Por eso, “los métodos actuales deben expandirse para dar respuesta a las nuevas vulnerabilidades que son inherentes a la IA, pero pueden no ser relevantes para los sistemas de TI clásicos”.
Para qué la usan “los malos”
En el lado de la ciberdelincuencia, uno de los principales usos para la “suplantación de identidad, ingeniería social y phising”. El informe adiverte de que “el uso criminal de la IA no solo ha incrementado el alcance y la eficiencia del cibercrimen, sino que también ha bajado las barreras de entrada para las redes criminales que antes carecían de habilidades técnicas”.
Es decir, ahora casi cualquiera puede robar una identidad, cometer fraudes, extraer datos o violar la privacidad. Aunque no tenga ni idea de tecnología. De hecho, según los datos del informe, el uso de modelos de lenguaje [LLM] puede reducir los costes del phising en un 95%, con niveles de eficacia iguales o incluso superiores.
Otra ayuda para los ciberdelincuentes es la capacidad para recabar y analizar de forma eficiente enormes cantidades de datos procedentes de muy diversas fuentes. De esa forma, pueden identificar vulnerabilidades y objetivos potenciales.
Día cero
Como te contábamos ayer, un día cero es un ataque dirigido contra una vulnerabilidad en un software que ni siquiera los desarrolladores saben que existe y, por tanto, no tienen un parche disponible para solucionarla.
Las herramientas de IA para analizar la existencia de este tipo de vulnerabilidades, no solo permiten hacerlo de forma más eficaz, sino que también hacen que sea “más fácil crear malware a medida capaz de explotar esas debilidades antes de que se desplieguen los parches”.
El informe asegura que ya existen modelos de GPT-4 trabajando en equipo para explotar de forma autónoma esas vulnerabilidades de día cero.
Sistemas en peligro
Esta tecnología también se está utilizando para explotar debilidades en sus propias bases de datos de entrenamiento, a través del denominado “envenenamiento de datos”.
Con esta técnica, se consigue debilitar el rendimiento y la fiabilidad de los modelos, lo que lleva a que generen “resultados erróneos, con graves consecuencias para sectores específicos”.
El documento recoge como ejemplo el sector financiero, en el que un envenenamiento de datos que tuviese éxito podría manipular los algoritmos que se utilizan para realizar el análisis de la capacidad de crédito o la detección de fraude.
“Estos resultados, no solo minan la integridad de los sistemas, sino que también exponen a las instituciones a graves pérdidas financieras y daño reputacional”.