El arma secreta para luchar contra el ransomware basado en IA en este Día de la Apreciación de la IA

Por Rick Vanover*

La inteligencia artificial (IA) podría ser la gran paradoja de 2024. Todo el mundo está aburrido de oírlo, pero no puede dejar de hablar de ello. No va a desaparecer, así que será mejor que nos acostumbremos. La IA está revolucionando la mayoría de las industrias digitales, y el ciberdelito no es una excepción.

Sin embargo, vale la pena dejar de lado las exageraciones y llegar a los hechos. Se ha hablado mucho del impacto potencial de la IA en la amenaza global del ransomware, pero ¿en qué medida cambia realmente el panorama? Ahora que se celebra el Día de la Apreciación de la IA (16 de julio), es una excelente oportunidad de tocar a fondo este tema.

Las dos caras de la IA

Si bien el potencial futuro de la IA, con respecto al crimen cibernético y la sociedad en general, es inmenso (y un poco aterrador), es más útil centrarse en el aquí y ahora. Actualmente, la IA es sólo otra herramienta a disposición de los ciberdelincuentes, pero es sumamente importante pues reduce la barrera de entrada para los mismos.

El uso de IA para ayudar con la codificación ya es común entre los programadores legítimos. Incluso si se trata solamente de revisar código roto o responder preguntas específicas más rápido que Google, la IA ayudará a las personas a piratear sistemas tanto como a quienes los desarrollan. Si bien esto podría facilitar la vida de las bandas de ransomware, no empeorará las cosas para los equipos de seguridad.

Con todo, los otros casos de uso actuales tienen más consecuencias. Los algoritmos de IA pueden escanear redes o entornos para mapear la arquitectura y los puntos finales y, lo que es más importante, detectar vulnerabilidades. Los actores de amenazas ya lo hacen manualmente, pero la IA lo hará mucho más fácil y efectivo.

La IA también se puede usar para automatizar la recopilación de información para ataques más específicos. Estas herramientas pueden eliminar Internet (particularmente las redes sociales) para recopilar la mayor cantidad de información posible sobre un objetivo para phishing e ingeniería social.

Esto nos lleva al último uso típico de la IA por parte de los delincuentes cibernéticos. En una conversación en la que abundan las exageraciones, describir la inteligencia artificial como “apoyar el phishing” es, probablemente, subestimarla.

En su forma más básica, incluso las herramientas de IA más disponibles se pueden emplear para crear mejores correos electrónicos de phishing, superando la barrera del idioma que a menudo hace que este tipo de estafas sean detectables.

Deepfake

Este es otro ejemplo de cómo la IA mejora la actividad maliciosa que ya existe, pero la clonación de voz (deepfakes) de personas específicas es otra cosa completamente diferente. Cuando se combina con la recopilación automatizada de información sobre un objetivo, estamos ante la próxima generación de ingeniería social.

¿Qué significa esto para la seguridad?

Si bien nunca será agradable que los ciberdelincuentes tengan más herramientas a su disposición, hay dos cosas a tener en cuenta: 1) los equipos de seguridad también tienen acceso a estas herramientas, y 2) la IA hará que los ataques sean más sofisticados y efectivos, pero por ahora no introduce ninguna amenaza nueva o completamente novedosa, por lo que no hay necesidad de romper el manual.

La IA ya se utiliza en ambos lados de la línea de batalla. Probablemente sea justo decir que, si bien las bandas de ransomware tienen acceso a sus mercados oscuros de soluciones y servicios, nosotros, los que estamos en el otro lado, tenemos acceso a mucho más.

Ransomware

La industria del ransomware estaba valorada en $14,000 millones de dólares en 2022, según Search Logistics, pero la de la seguridad, que de acuerdo con Markets and Markets tuvo un valor de $190,400 millones de dólares el año pasado, hace que dicha cifra parezca pequeña en comparación.

Desde el punto de vista de la seguridad, la IA se puede usar para análisis de comportamiento, detección de amenazas y escaneo de vulnerabilidades (para detectar actividades y riesgos maliciosos).

La IA se puede emplear también para monitorear tanto el sistema en sí (buscando vulnerabilidades y puntos de entrada) como la actividad en el sistema (análisis de comportamiento, análisis de datos, etc.).

La seguridad basada en IA tiene como objetivo predecir y detectar amenazas antes de que se conviertan en infracciones. Herramientas más avanzadas responderán automáticamente a estas amenazas, alertando a los equipos de seguridad o restringiendo el acceso. Al igual que en el ámbito criminal, la mayoría de estos conceptos existen ahora (como firewalls y detectores de malware), pero la IA los está haciendo más eficientes y efectivos.

No se pueden superar los principios básicos

Entonces, aunque la IA se usará en ambos lados, no se trata de hacer que luche en el ámbito cibernético (aunque eso suene divertido). El ransomware no está cambiando (al menos por ahora), y las tácticas de los atacantes no se están transformando.

 La higiene digital y el Zero Trust siguen funcionando. La seguridad tendrá que mantenerse al día, claro. Después de todo, la ingeniería social sólo necesita funcionar una vez, pero la prevención y la resistencia al ransomware deben funcionar siempre.

En última instancia, la mejor práctica sigue siendo la mejor práctica. A medida que el ransomware basado en IA se vuelve más común, tener copias de los datos se vuelve más crítico que nunca. Cuando todo lo demás falla, se necesita respaldo y recuperación. Todos estos escenarios aterradores –incluso el ataque de phishing más avanzado conocido por el hombre (o la máquina)– podrían terminar con «gracias a Dios había confiado en el respaldo y la recuperación».

Como el backup es la última línea de defensa, debe saber que puede confiar en él. De nuevo, las mejores prácticas no han cambiado. Usted necesita varias copias de sus datos, una fuera de línea (offline) y otra fuera de sitio (offsite). También requiere una estrategia de recuperación bien practicada, que incluya escanear respaldos en busca de infecciones, y configurar un entorno de recuperación que esté listo para funcionar.

Es menos intimidante de lo que parece. La IA no está cambiando el juego, es simplemente una progresión natural. La progresión es el nombre del juego en ciberseguridad: uno no puede hacerlo todo, pero debe hacer algo. Los principios básicos aún nos llevarán bastante lejos, así que el consejo es seguirlos, mantenerse actualizado sobre las mejores prácticas y asegurarse de que puede confiar en sus respaldos cuando todo lo demás falle.

Por Rick Vanover, es vicepresidente de Estrategia de Producto de Veeam