En un análisis de la firma de consultoría Impact de diciembre de 2024 se dice que la rápida integración de la IA en el ámbito de la ciberseguridad supone un cambio disruptivo, tanto para los cibercriminales como para los profesionales encargados de la ciberdefensa: “la Dark IA ha proporcionado a los actores maliciosos herramientas para lanzar ataques más sofisticados, personalizados y adaptativos que nunca, lo que hace que las defensas tradicionales sean cada vez más ineficaces”.
Este análisis no viene sino a constatar un hecho que se confirmado día a día: cómo los actores maliciosos utilizan cada vez más la Inteligencia Artificial como arma, para incrementar la sofisticación de sus ataques y hacerlos más eficaces y eficientes. Los ejemplos son múltiples, veamos algunos de ellos:
- Suplantación de identidad (Vishing): vemos cada vez más casos de suplantación de identidad en los que el actor, utilizando la IA e ingeniería social suplanta la identidad de una persona, falsificando su voz, para realizar campañas de vishing (phishing utilizando la voz) en el entorno social de la víctima. Esta posibilidad es accesible a través de herramientas estándar, e implica el uso fraudulento de diversos elementos (dominios de Internet, correo electrónico etc.). Aunque cada vez son ataques más sofisticados, aún podemos encontrar pistas que nos indican que se trata de una estafa (entonación de la voz, petición inusual o ilógica…)
- Chatbots basados en IA: el uso de sistemas robotizados basados en IA para atención al cliente se han convertido también en un foco de potenciales amenazas, ya que los actores maliciosos están suplantando la identidad de estos servicios y sus números de teléfono para dirigirse a las víctimas y solicitarles acciones diversas, que acaban en ataques de phishing (robo de credenciales bancarias, por ejemplo). El auge de las inversiones en criptomonedas se ha convertido por ejemplo en caldo de cultivo para este tipo de ataques. Como en el caso anterior, esta actividad maliciosa involucra varios tipos de abusos, desde la falsificación del número de teléfono entrante hasta el redireccionamiento hacia sitios fraudulentos.
- Malware mejorado mediante IA: Antes de lanzar una campaña de malware, los actores maliciosos realizan test para identificar cuál es el script o mensaje con una ratio mayor de éxito. En este cometido la IA está siendo un complemento muy útil, para afinar las herramientas y acelerar el lanzamiento de las campañas. Parte de la cadena de suministro de estos ataques es contar con dominios de organizaciones con alta reputación que han sido previamente secuestrados, para dar más credibilidad a la campaña.
- Abuso (jailbreaking) de los propios motores de IA: Los actores están desarrollando técnicas para burlar las propias limitaciones que los motores (GPTs) de IA tienen a la hora de proporcionar respuestas a prompts cuyo objetivo sea potencialmente abusivo o ilegal.
En este contexto, la cuestión que se plantea es cómo contraatacar, cómo utilizar la IA para hacer frente a esta nueva generación de amenazas mejoradas con IA. Una primera estrategia consiste en apuntar a la infraestructura que el actor malicioso está utilizando para llevar a cabo el ciberataque, es decir, atacar la cadena de suministro del atacante.
Como se ha visto, llevar a cabo una campaña de malware o phishing, requiere una serie de preparativos y una sofisticada infraestructura, que incluye en un elevado número de casos el uso abusivo del sistema DNS. Entre estos preparativos está el registro fraudulento de dominios, la creación de una infraestructura de sitios a donde redirigir a las víctimas y la configuración de DNS. Si mediante inteligencia DNS somos capaces de bloquear la actividad maliciosa, se puede mitigar un ataque mucho antes de que llegue a producirse la primera víctima, según estimaciones, hasta 63 días antes de que este “paciente cero” se llegue a producir. Por tanto, es una estrategia realmente proactiva, ya que no hace falta que se produzca un paciente cero para entrar en acción.
Una segunda estrategia consiste en utilizar la IA para detectar “las huellas” que el actor malicioso va dejando cuando está construyendo su infraestructura y transformar esta información en inteligencia de seguridad práctica que permita interrumpir la actividad maliciosa. Cuando el actor malicioso está preparando la infraestructura realiza una serie de acciones consecutivas que dejan huella: registro de dominios, configuración de DNS, activación de servicios, despliegue del ataque… La inteligencia de seguridad que proporcionará este análisis permite detectar, analizar, clasificar y priorizar y finalmente responder a los ataque que se está preparando.
Podemos comparar las ventajas e inconvenientes de una estrategia basada en una defensa “perimetral” del punto de entrada frente a un enfoque de defensa basado en DNS y en atacar la infraestructura del adversario, desde varios ángulos:
- Anticipación y control: una defensa basada en firmas o en comportamiento requiere que se produzca un “paciente cero” para iniciar la respuesta. Un enfoque basado en inteligencia DNS permite atacar la infraestructura del adversario antes de que se arme.
- Eludir defensas: con la estrategia de defensa del punto de entrada, los actores pueden fácilmente eludir las defensas mediante ofuscación del malware o uso de un kit de IA para adaptar dinámicamente su ataque y burlar la defensa. El enfoque de infraestructura hace más difícil que los actores maliciosos puedan eludir las defensas ya que se están atacando los dominios, que son las piezas clave de la infraestructura del atacante
- Vectores: mientras que la defensa en el punto de entrada está preparada para proteger frente un limitado número de vectores de amenazas, atacando la infraestructura del adversario se contempla un amplio rango de capacidades
- Complejidad de las soluciones: las soluciones de ciberseguridad basadas en proteger el punto de entrada son complejas, necesitan una profunda integración y configuración, y corren el riesgo de no estar actualizadas. El enfoque de infraestructura, en cambio, proporciona un control universal, con formatos e interfaces estandarizados.
Como reconoce la Agencia de la Unión Europea para la Ciberseguridad (ENISA), en 14 de las 15 principales ciberamenazas actuales, el DNS está involucrado en algún punto de la cadena de suministro del ataque, por lo que la protección y gestión segura de DNS se considera el enfoque más escalable para la mitigación de malware el mundo de hoy, en el que ya no existe el perímetro.
En conclusión, el uso de inteligencia de amenazas basada en DNS puede contribuir a hacer más eficaz y eficiente la gestión de ciberseguridad, como lo demuestran algunos datos: capacidad de identificar una amenaza antes de que la primera petición de DNS se produzca en un 75 % de los casos, de anticiparse una media de 63 días a la ejecución del ataque o de manejar una tasa muy baja de falsos positivos (en torno al 0,0002 %).
Manuel González, Solution Arquitect, Infoblox
