Opinión
IA y ransomware: superando las expectativas
12 de Junio de 2024Escribe Rick Vanover, vicepresidente de estrategia de producto, Veeam
Podría ser la gran paradoja de 2024: la Inteligencia Artificial (IA). Todo el mundo está aburrido de oírlo, pero no puede dejar de hablar de ello. No va a desaparecer, así que será mejor que nos acostumbremos. La IA está revolucionando la mayoría de las industrias digitales y el ciberdelito no es una excepción.
Sin embargo, vale la pena dejar de lado las exageraciones y llegar a los hechos. Se ha hablado mucho del impacto potencial de la IA en la amenaza global del ransomware, pero ¿en qué medida cambia realmente el panorama?
Policías y ladrones de IA
Si bien el potencial futuro de la IA, respecto del cibercrimen y la sociedad en general, es inmenso (y un poco aterrador), es más útil centrarse en el aquí y el ahora. Actualmente, la IA es solo otra herramienta a disposición de los ciberatancantes, pero es bastante importante porque reduce la barrera de entrada para los mismos.
El uso de IA para ayudar con la codificación ya es común entre los programadores legítimos. Incluso si se trata solo de revisar código roto o responder preguntas específicas más rápido que Google, la IA ayudará a las personas a piratear sistemas tanto como a quienes los desarrollan. Pero si bien esto podría facilitar la vida de las bandas de ransomware, no empeorará las cosas para los equipos de seguridad.
Sin embargo, los otros casos de uso actuales tienen más consecuencias. Los algoritmos de IA pueden escanear redes o entornos para mapear la arquitectura y los puntos finales y, lo que es más importante, detectar vulnerabilidades. Los actores de amenazas ya lo harán manualmente, pero la IA lo hará mucho más fácil y efectivo. La IA también se puede utilizar para automatizar la recopilación de información para ataques más específicos. Estas herramientas pueden eliminar Internet (particularmente las redes sociales) para recopilar la mayor cantidad de información posible sobre un objetivo para phishing e ingeniería social.
Esto nos lleva al último uso típico de la IA por parte de los ciberdelincuentes. En una conversación en la que abundan las exageraciones, describir la IA como “apoyar el phishing” probablemente sea subestimarla. En su forma más básica, incluso las herramientas de inteligencia artificial más disponibles se pueden utilizar para crear mejores correos electrónicos de phishing, superando la barrera del idioma que a menudo hace que este tipo de estafas sean detectables. Este es otro ejemplo de cómo la IA mejora la actividad maliciosa que ya existe, pero la clonación de voz (deepfakes) de personas específicas es otra cosa completamente diferente. Cuando se combina con la recopilación automatizada de información sobre un objetivo, estamos ante la próxima generación de ingeniería social.
Qué significa para la seguridad
Si bien nunca será agradable que los ciberdelincuentes tengan más herramientas a su disposición, hay dos cosas a tener en cuenta: una, los equipos de seguridad también tienen acceso a estas herramientas y dos, la IA hará que los ataques sean más sofisticados y efectivos. Por ahora, no introduce ninguna amenaza nueva o completamente novedosa, por lo que no hay necesidad de romper el manual.
La IA ya se utiliza en ambos lados de la línea de batalla. Probablemente sea justo decir que, si bien las bandas de ransomware tienen acceso a sus mercados oscuros de soluciones y servicios, nosotros, los "normales", tenemos acceso a mucho más. La “industria del ransomware” estaba valorada en (aún enorme) 14 mil millones de dólares en 2022, pero la industria de la seguridad global hace que esta cifra parezca pequeña en comparación con sus 222 mil millones de dólares.
Desde el punto de vista de la seguridad, la IA se puede utilizar para análisis de comportamiento, detección de amenazas y escaneo de vulnerabilidades para detectar actividades y riesgos maliciosos. La IA se puede emplear para monitorear tanto el sistema en sí (buscando vulnerabilidades y puntos de entrada) como la actividad en el sistema (análisis de comportamiento, análisis de datos, etc.). La seguridad basada en IA, tiene como objetivo predecir y detectar amenazas antes de que se conviertan en infracciones. Herramientas más avanzadas responderán automáticamente a estas amenazas, alertando a los equipos de seguridad o restringiendo el acceso. Al igual que en el ámbito criminal, la mayoría de estos conceptos existen ahora (como firewalls y detectores de malware), pero la IA los está haciendo más eficientes y efectivos.
No puedes superar los principios básicos
Entonces, aunque la IA se usará en ambos lados, no se trata de hacer que las IA luchen entre sí en el ámbito cibernético (aunque eso suene divertido). El ransomware no está cambiando (al menos por ahora), y las tácticas de los atacantes no se están transformando. La higiene digital y la confianza cero siguen funcionando. La seguridad tendrá que mantenerse al día, claro. Después de todo, la ingeniería social solo necesita funcionar una vez, pero la prevención y la resistencia al ransomware deben funcionar siempre.
En última instancia, la mejor práctica sigue siendo la mejor práctica. A medida que el ransomware basado en IA se vuelve más común, tener copias de los datos se vuelve más crítico que nunca. Cuando todo lo demás falla, se necesita copia de seguridad y recuperación. Todos estos escenarios aterradores, incluso el ataque de phishing más avanzado conocido por el hombre (o la máquina), podrían terminar con: "gracias a Dios había confiado en la copia de seguridad y la recuperación".
Como el backup es la última línea de defensa; debes saber que puedes confiar en él. De nuevo, las mejores prácticas no han cambiado. Necesitas varias copias de tus datos, una fuera de línea y otra fuera del sitio. También necesitas una estrategia de recuperación bien ensayada, que incluya escanear copias de seguridad en busca de infecciones y configurar un entorno de recuperación que esté listo para funcionar.
Es menos intimidante de lo que parece. La IA no está cambiando el juego, es simplemente una progresión natural. La progresión es el nombre del juego en ciberseguridad: no puedes hacerlo todo, pero debes hacer algo. Los principios básicos aún lo llevarán bastante lejos, así que seguirlos, mantente actualizado sobre las mejores prácticas y asegúrate de poder confiar en tu copia de seguridad cuando todo lo demás falle.
(*) Rick Vanover: Director ejecutivo de Estrategia de Producto de Veeam