Ciberataques con inteligencia artificial: nuevo riesgo de alcance imprevisible
En 2024 despegará el uso delictivo de la Inteligencia Artificial
Desde contenidos audiovisuales generados artificialmente que imitan la voz y apariencia de las personas para suplantarlas hasta la imitación del estilo de escritura de un usuario para engañar a otro y que entregue información confidencial, en 2024 despegará el uso delictivo de la Inteligencia Artificial, planteando nuevos retos de ciberseguridad cuya evolución es difícil de prever.
En 2023 las agencias de inteligencia occidentales descubrieron indicios de que un agente patrocinado por un Estado y vinculado a redes de infraestructuras críticas de EE. UU., utilizó herramientas de inteligencia artificial (IA) para violar los sistemas periféricos de transferencia de información entre equipos electrónicos (SPI), en una base militar con valor estratégico.
Un ataque a dicha base militar basado en estas mismas herramientas de IA, podría obstaculizar la comunicación entre las fuerzas estadounidenses en Asia, si se produjese un conflicto en la región, según Claroty (https://claroty.com), empresa de protección de sistemas de ciberseguridad online y físicos.
Ciberamenazas potenciadas
Este es solo un ejemplo de la tendencia de los agentes generadores de ciberamenazas a utilizar cada vez más la Inteligencia Artificial como arma, según los especialistas.
Los ataques potenciados con inteligencia artificial, suponen un creciente riesgo para la seguridad pública y la prestación de servicios críticos, a medida que más y más redes digitales que interconectan a miles de millones de dispositivos convergen en la industria, el transporte y la asistencia sanitaria, según Yaniv Vardy, director ejecutivo (CEO) de Claroty.
Señala que para contrarrestar la velocidad, sofisticación y escala con la que los actores maliciosos “arman” la IA para sus ataques a los SPI y mejorar la resistencia de estos sistemas, también habrá que recurrir a la IA, en su variante generativa, que aplica el aprendizaje automático para aprender los patrones y relaciones de un conjunto de datos y utiliza lo aprendido para crear contenido.
Suplantación de identidad
Para la firma de ciberseguridad Kaspersky (www.kaspersky.es) las herramientas de Inteligencia Artificial emergentes serán un elemento clave en los próximos ciberataques.
“En 2023, el notable aumento en la disponibilidad de herramientas de IA llamó la atención de agentes maliciosos avanzados involucrados en campañas extensas y altamente complejas, y en 2024 seguirá la implicación de la IA en sus ataques, según comenta Igor Kuznetsov, director del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.
La IA facilitará la producción de mensajes de ‘phishing’, una suplantación de identidad consistente en hacerse pasar por una institución o persona confiable en un correo electrónico o una llamada telefónica, para engañar al usuario y conseguir que entregue contraseñas, credenciales, números de tarjeta de crédito, y otra información confidencial, según esta misma fuente.
Añaden que los atacantes usarán la IA para que sus ataques de ‘phishing’ personalizados y dirigidos, sea más efectivos.
También podrán idear métodos creativos de automatización recopilando datos en línea y enviándolos a los LLMs, (Grandes Modelos de Lenguaje especializados) que utiliza la IA, con el fin de elaborar borradores de cartas imitando el estilo personal de alguien cercano a la víctima, adelanta Kaspersky.
Videos falsos que parecen reales
El equipo de expertos de la compañía de seguridad digital Gen prevé que la IA desempeñará un enorme papel en la forma en que se crearán las amenazas, permitiendo a los delincuentes lanzar estafas aún más sofisticadas y creíbles.
Estas ciberamenazas podría alcanzar un nivel que llevaría a que "cada correo electrónico, texto, anuncio o llamada telefónica tengan que ser analizados cuidadosamente para garantizar que no haya un estafador al otro lado”, según Michal Pechoucek, director de tecnología de Gen (www.gendigital.com).
Los especialistas de esta firma esperan que 2024 sea un año histórico para la diversificación de las capacidades de la IA, en el que “los ciberdelincuentes no se limitarán a la generación de texto, ya que ahora dispondrán de herramientas de conversión de texto a vídeo y para la creación de contenidos multimedia”.
“Estos avances harán cada vez más difícil distinguir un vídeo grabado de verdad de uno generado mediante IA, especialmente cuando los vídeos se cortan con frecuencia, como ocurre con los informativos de televisión”, según Gen.
Señalan que “los generadores de ciberamenazas saben que la mejor manera de conseguir lo que quieren es a través de la manipulación de las emociones y vulnerabilidades de las personas, en lo que se conoce como ingeniería social”.
Para estas manipulaciones los ciberdelicuentes utilizarán en 2024 contenidos generado por IA en redes sociales para difundir noticias falsas, anuncios engañosos, ‘deepfakes’ (videos, imágenes o audios falsos prácticamente indistinguibles de uno real) de figuras públicas o incluso mensajes directos que parezcan proceder de contactos de confianza, según Gen.
Fraudes mediante voz digitalizada
Por su parte, desde Panda Security, PS,(www.pandasecurity.com) pronostican para 2024, un aumento del ‘vishing’ (suplantación de identidad y engaño por medio de la voz) basado en inteligencia artificial.
Este método consiste en que un estafador efectúa una llamada telefónica a un usuario haciéndose pasar por una empresa u organización de buena reputación o por alguien relacionado con el trabajo de la víctima del engaño, para chantajearla o impulsarla a hacer algo que el atacante puede monetizar, como comprar tarjetas de regalo o criptomonedas en su nombre.
Hasta el momento el ‘vishing’ dependía del ser humano, ya que es el propio ciberdelincuente quien habla por teléfono con la víctima para engañarla, siguiendo guiones diseñados para sacarle el dinero o vaciar sus cuentas corrientes, según Panda.
Pero a partir de ahora, el uso combinado de audios ‘deepfake’ convincentes y programas capaces de “conversar” con las personas, ambos generados por IA, harán que aumenten la escala y el volumen de llamadas de ‘vishing’, que en algunos casos ni siquiera requerirán la participación humana, concluyen.
Daniel Galilea/EFE - Reportajes