Con una Inteligencia Artificial (IA) cada vez más presente en nuestras vidas, hay que hablar no sólo de ventajas, sino del impacto que puede tener en el mundo de las ciberamenazas. Y eso es lo que ha hecho ESET: señalar los principales peligros y ventajas que la IA supone para la ciberseguridad.
Destaca la compañía que, dentro de los peligros, uno de los que más preocupa es la posibilidad de que se generalicen los ciberataques a infraestructuras críticas, como son los sistemas de generación de energía y la red eléctrica, los hospitales, los servicios de salud, la cadena de suministro global e incluso las cadenas de suministro digitales y la propia Internet.
Señalando que las infraestructuras críticas representan todos los sistemas, redes y activos esenciales, dice Josep Albors, director de Investigación y Concienciación de ESET España, que “una herramienta de IA eficaz podría, hipotéticamente, ayudar a los actores maliciosos a cometer ataques, o incluso aumentar el número de ciberdelincuentes, al facilitar la programación del malware”.
¿Puede la IA colaborar en la creación de ciberataques? Aseguran desde ESET que todavía no nos encontramos cerca de un malware generado completamente por IA, aunque ChatGPT es bastante bueno en la sugerencia de código generando ejemplos y fragmentos, depurando, optimizando e incluso automatizando la documentación. Destaca la compañía tres áreas en las que los modelos lingüísticos sí podrían tener repercusión:
- Suplantaciones de identidad cada vez más convincentes: al explorar grandes cantidades de fuentes de datos y combinarlas casi a la perfección para crear mensajes de correo electrónico específicamente diseñados, es cada vez más difícil no caer en este tipo de ingeniería social.
- Automatización de las negociaciones de rescate: los operadores de ransomware que hablan con fluidez resultan poco naturales, pero implementando la capacidad de lenguaje natural de ChatGPT a estas comunicaciones se podría reducir la carga de trabajo de los atacantes para parecer legítimos durante las negociaciones. Igualmente, este uso también repercutiría en una minimización de errores que podría permitir a los defensores localizar las verdaderas identidades y ubicaciones de los operadores. Además, gracias a la mayor facilidad para generar vídeo y voz con IA los actores maliciosos podrían convertirse en cualquier persona, ocultando su identidad con mayor eficacia.
- Mejores estafas telefónicas: con la generación de un lenguaje natural cada vez más cercano al real, los estafadores sonarán mucho más cercanos.
Infraestructuras críticas frente a la IA, la necesidad de una legislación emergente
A medida que la IA empiece a desempeñar un papel cada vez más importante en la ciberseguridad, las empresas y los gobiernos tendrán que adaptarse y aprender a utilizarla en su propio beneficio, ya que los delincuentes intentarán hacer lo mismo. Según un informe de julio de 2022 de Acumen Research and Consulting, el mercado mundial de la IA ascendía a 14.900 millones de dólares en 2021 y se calcula que alcanzará los 133.800 millones de dólares en 2030.
Gracias al creciente uso del IoT y otros dispositivos conectados, los servicios de seguridad basados en la nube podrían ofrecer nuevas oportunidades para el uso de la IA. Los antivirus, la prevención de pérdida de datos, la detección de fraudes, la gestión de identidades y accesos, los sistemas de detección/prevención de intrusiones y los servicios de gestión de riesgos y cumplimiento ya utilizan herramientas como el aprendizaje automático para crear una protección más resistente.
Por otro lado, los ciberdelincuentes también podrían utilizar la IA en su beneficio. Cuando la Inteligencia Artificial esté lo suficientemente desarrollada, podrían utilizarla fácilmente para identificar patrones en los sistemas informáticos y revelar debilidades en el software o en los programas de seguridad, lo que les permitiría explotar esas debilidades recién descubiertas.
De esta forma, las infraestructuras críticas podrían convertirse en uno de los principales objetivos para estos atacantes. Con la IA atacando y defendiendo a la vez, los agentes de seguridad y los gobiernos tendrán que trabajar para anticiparse a posibles escenarios. La Unión Europea ya está intentando evaluar los riesgos proponiendo la Ley de IA para regular su uso en Europa. Esta legislación clasifica las diferentes herramientas de IA según su nivel de riesgo percibido, de bajo a inaceptable para que los gobiernos y las empresas que utilicen estas herramientas se apliquen las diferentes obligaciones pertinentes en función del nivel de riesgo.
Quienes utilicen IA de alto riesgo probablemente se verán obligados a completar rigurosas evaluaciones, registrar sus actividades y poner los datos a disposición de las autoridades para su escrutinio, lo que aumentará los costes de cumplimiento para las empresas. En caso de que una empresa infrinja las normas, la multa probablemente rondaría los 30 millones de euros o hasta el 6% de sus beneficios globales.
