El cofundador de Picus Security cuenta cómo utilizó el sistema de inteligencia artificial generativa ChatGPT para crear una campaña de phishing creíble durante la última Copa del Mundo de fútbol. Aunque el bot le advirtió de que podría destinarse a fines maliciosos, siguió adelante y le ayudó a escribir un ransomware para macOS creando el script. “No tengo dudas de que ChatGPT y otras herramientas como esta democratizarán el cibercrimen”, asegura Ozarslan.
En el caso de ExtraHop, el responsable de su área técnica, Jamie Moles, pidió ayuda a ChatGPT para crear un ataque similar al devastador gusano ransomware WannaCry. “Le pregunté cómo usar Metasploit para aplicar el exploit EternalBlue y su respuesta fue básicamente perfecta”, explica.
Si ya era complejo el entorno en materia de ciberseguridad por la confusión sobre el origen y la naturaleza real de los ataques que ha introducido la guerra de Ucrania, sólo faltaba el poder disruptivo de una herramienta como la diseñada por OpenAI. En la última edición del e-Crime & Cybersecurity Congress de Londres, la sensación de inicio de una nueva era era patente hasta en los recodos más impensables.
Se habla de una nueva contienda cibernética global muy parecida a la guerra fría que acabó a finales de los 80. En lugar de reservas de armas nucleares, ahora entra en juego la enorme montaña global de vulnerabilidades acumulada durante varias décadas de expansión digital. En su mayor caso se trata de brechas generadas por accidente como un subproducto de las continuas innovaciones en conectividad.
Las empresas ya no pueden centrarse exclusivamente en su grado de cumplimiento del RGPD (Reglamento General de Protección de Datos). Mario Greco, director ejecutivo de la aseguradora Zurich, dice que centrarse en el riesgo de privacidad para las personas es pasar por alto el panorama general: “En primer lugar, hay debe haber una percepción de que esto no es sólo datos… esto se trata de la civilización. Estas personas pueden perturbar gravemente nuestras vidas”.
Uno de los problemas actuales en materia de ciberseguridad es precisamente el pricing. Es sintomática la evolución de las primas de seguros, que siguen creciendo a medida que las aseguradoras obtienen más datos sobre la frecuencia de los ataques y cuánto daño causan. En algún caso, se han salido directamente del mercado. La plataforma de seguros Lloyds of London ha dejado de cubrir, de hecho, los ataques cibernéticos que involucran a actores estatales.
Los reguladores están analizando la resiliencia operativa de sectores clave como el financiero. Ahora mismo, aunque abrume oírlo, asegurar el mercado de pagos mayoristas es una prioridad y otros sectores estratégicos vendrán después. Vamos hacia un mundo hiperconectado en el que las aplicaciones de conducción les dirán a las aseguradoras qué primas pueden cobrar, las máquinas de la industria 4.0 informarán de sus propias averías y los coches se convertirán en oficinas móviles, tiendas y ecosistemas.
El abuso de la IA aparece en el Top10 de las Amenazas Emergentes en Ciberseguridad para 2030 que acaba de publicar la Agencia de Ciberseguridad de la Unión Europea (ENISA). Asegura que “la IA se puede manipular desde su inicio y a lo largo de su ciclo de vida a través de la manipulación del entrenamiento y los ataques de los adversarios. El sesgo inconsciente en la IA es una preocupación bien conocida a principios de los años 20, sin embargo, en 2030 existe una amenaza real de manipulación intencional de los algoritmos de IA y los datos de entrenamiento”.
Otra de las amenazas es una cadena de suministro cada vez más dependiente del software. “A medida que el mercado exige ciclos rápidos de lanzamiento de productos, la programación basada en componentes aumentará considerablemente, lo que conducirá a la reutilización del código y al uso de bibliotecas de código fuente abierto”, dice ENISA.
“Si bien algunos de estos componentes se escanearán regularmente en busca de vulnerabilidades, la combinación de software, hardware y código basado en componentes creará interacciones e interfaces no supervisadas. Esto conducirá a vulnerabilidades nuevas e imprevistas, creando más oportunidades para que los actores maliciosos comprometan la cadena de suministro desde el lado del proveedor y del cliente”.
Un asunto que preocupa mucho a nivel global es el avance en las campañas de desinformación y de lo que se conoce como Operaciones de Influencia (OI), con una intención prioritariamente geopolítica. En paralelo, discurre el incremento del autoritarismo basado en la vigilancia digital y la pérdida de privacidad.
El Alto Comisionado de Naciones Unidas para Derechos Humanos expone datos elocuentes en el informe “El derecho a la privacidad en la era digital”: en 2021, se alcanzaron los 1.000 millones de cámaras en espacios públicos, con una densidad de entre 39 y 115 dispositivos por cada 1.000 habitantes en las diez ciudades más observadas del mundo. China se sale de la gráfica. Allí se calcula que son 372 cámaras de media. Hoy hay compañías privadas dotadas de sistemas capaces de notificar incidencias a las autoridades de forma autónoma y de dar acceso a sus datos, y si en 2010 apenas se analizaba el 2% de las imágenes, ahora se supera ampliamente el 50% gracias a la inteligencia artificial y al big data.
Un tema al que tendrán que prestar mucha atención las pymes es el creciente riesgo de errores humanos dentro de ecosistemas ciberfísicos en los que los desarrollos que conforman el legacy (los sistemas heredados) están ya sobreexplotados. “La rápida adopción de IoT [internet de las cosas] y la continua escasez de skills conducirá a una falta de conocimiento, capacitación y comprensión del ecosistema ciberfísico para 2030, lo que generará problemas de mantenimiento de seguridad de TI y OT que surjan de la configuración incorrecta, el mantenimiento retrasado y el final inadecuado de la actividad”, dice ENISA.
No es muy optimista al respecto. En 2030, el problema de la escasez de personal con las habilidades que requiere la ciberseguridad “no se habrá resuelto”, sostiene. Un factor relevante será que ni siquiera será suficiente la buena “disposición y los recursos organizacionales para expandir el personal y desarrollar talentos”. De hecho, la implementación de funciones de ciberseguridad “también se verá afectada por la falta de habilidades y la madurez general de las funciones de ciberseguridad, incluso si existe la voluntad”.
Cada vez debemos supervisar más tareas incluso en nuestra vida privada, porque vamos hacia ataques dirigidos mejorados con los datos que proporcionamos a través de nuestros dispositivos inteligentes. Vamos hacia un entorno, hay que interiorizarlo bien, híbrido, con ataques que implicarán cada vez más las dimensiones física y digital. El reciente bloqueo del Hospital Clínic de Barcelona es un ejemplo claro de ello.
“Los atacantes utilizarán una combinación simultánea de técnicas para obtener acceso inicial, incluida la recopilación de grandes datos para adaptar sus campañas de phishing selectivo, machine learning para interpretar los datos, desarrollar nuevas herramientas para evadir los mecanismos de defensa y combinar lo físico y lo virtual para ejecutar sus ataques. Con el aumento de dispositivos inteligentes, el uso de la nube, más identidades online y plataformas sociales, así como identificaciones digitales emitidas por los gobiernos, los atacantes tendrán una variedad de nuevos dominios para usar y combinar para crear vectores de ataque creativos”, advierte ENISA.