[03/04/2023] La aparición de herramientas efectivas de procesamiento de lenguaje natural, como ChatGPT, significa que llegó el momento de comenzar a entender cómo fortalecerse contra los ciberataques basados en IA. Las capacidades de generación de lenguaje natural de los modelos de lenguaje extenso (LLM, por sus siglas en inglés) encajan perfectamente con uno de los vectores de ataque más importantes de la ciberdelincuencia: el phishing. El phishing se basa en engañar a las personas y, por ello, la capacidad de generar un lenguaje efectivo y otros contenidos a escala es una herramienta importante en el kit de los hackers.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Afortunadamente, existen varias maneras de mitigar esta creciente amenaza. A continuación, se presentan siete pautas para estar preparados en la era del phishing basado en IA:
Comprender la amenaza
Un líder encargado de la seguridad cibernética puede adelantarse a los acontecimientos al comprender dónde nos encontramos en la historia del aprendizaje automático (ML, por sus siglas en inglés) como herramienta de hackeo. En la actualidad, el área de mayor relevancia en torno a la IA para la ciberseguridad es la generación de contenido. Aquí es donde el aprendizaje automático está haciendo sus mayores avances, y encaja muy bien para los hackers con vectores como el phishing y los chatbots maliciosos. La capacidad de crear texto convincente y bien formulado está en manos de las personas con acceso a ChatGPT, que son básicamente todas aquellas que cuentan con conexión a Internet.
"Buscar mala gramática y ortografía incorrecta es cosa del pasado; incluso antes de ChatGPT los correos electrónicos de phishing ya se estaban volviendo más sofisticados”, asegura Conal Gallagher, CIO y CISO de Flexera, empresa de gestión de TI. "Debemos preguntarnos: '¿El correo electrónico es esperado? ¿La dirección del remitente es legítima? ¿El correo incita a hacer clic en un enlace?' La capacitación en concientización sobre seguridad sigue siendo necesaria”.
Gallagher destaca la investigación de la empresa de ciberseguridad WithSecure que demuestra una serie de interacciones con ChatGPT en las que la IA genera correos electrónicos de phishing eficaces. Esta y otras investigaciones confirman lo que nosotros mismos sabemos: que los rieles de seguridad destinados a evitar que las herramientas de IA se utilicen con propósitos ilegales no son confiables, y se están creando herramientas personalizadas para estos fines.
Debemos reconocer que la IA ahora se puede utilizar para generar contenido efectivo y que va a mejorar cada vez más. Las herramientas LLM mejorarán, estarán más disponibles para los hackers y se crearán herramientas personalizadas para ellos. Ahora es un buen momento para empezar a evaluar y tomar medidas para fortalecer las políticas de seguridad.
También debemos esperar que el contenido de phishing se vuelva no solo más convincente, sino también mejor dirigido, capaz de incorporar detalles específicos de tiempo, lugar y eventos. Los empleados ya no pueden confiar en las señales evidentes que determinan que un correo electrónico es malicioso. Las imágenes, e incluso el audio y video, pueden falsificarse con técnicas de generación de contenido. Se debe reiterar continuamente que cualquier correo electrónico inesperado es sospechoso.
La mentalidad y la cultura son las principales defensas
"El 90% de las victimizaciones por delitos cibernéticos podrían prevenirse fácilmente si los usuarios finales estuvieran armados con algunos conocimientos clave”, señala Scott Augenbaum, un agente especial supervisor retirado de la División Cibernética del FBI, en una entrevista con CSO. "¿Por qué no empezamos por ahí? Desafortunadamente, todo lo demás cuesta dinero y no parece estar funcionando. Desearía que alguien me dijera que estoy equivocado para poder retirarme de verdad”.
"La primera línea de defensa es volverse su propio firewall humano”, indica Augenbaum. Es decir, la mentalidad humana es la pieza central de la ciberseguridad. Por lo tanto, cultivar esa mentalidad dentro de una empresa es clave.
"La cultura se come la estrategia en el desayuno, y siempre es de arriba hacia abajo”, comenta el director ejecutivo de KnowB4, Stu Sjouwerman. El pensamiento y el comportamiento cotidiano de los empleados es el sistema inmunológico básico de la empresa: la capacitación constante de los empleados para la concientización en seguridad es clave. Con el phishing basado en IA, el mensaje importante es que no se debe dar peso al correo electrónico y otras comunicaciones en función de lo pulido y sofisticado de su lenguaje. Los phishers ya no fallan esa prueba y ahora se les exige un mayor grado de vigilancia a los empleados.
Hacer énfasis en actuar correctamente
El correo electrónico y otros elementos de la infraestructura de software ofrecen una seguridad fundamental incorporada que garantiza en gran medida que no estamos en peligro hasta que nosotros mismos tomamos acción. Aquí es donde podemos instalar un cable trampa en nuestra mentalidad: debemos ser extremadamente conscientes de sobre qué estamos actuando cuando tomamos acción. La información confidencial no está en riesgo hasta que un empleado envía una respuesta, abre un archivo adjunto o completa un formulario. El primer anillo de defensa en nuestra mentalidad debería ser: "¿Es legítimo el contenido que estoy viendo, no solo en función de sus aspectos internos, sino teniendo en cuenta el contexto completo?”. Entonces, el segundo anillo de defensa en nuestra mentalidad tiene que ser: "Un momentito, me están pidiendo que haga algo”.
Cuando los usuarios dan un paso adicional después de recibir un intento de phishing, es una gran victoria para los actores maliciosos: solo así puede proceder un ataque. Los profesionales de la seguridad deben capacitarse a sí mismos, a los empleados y a cualquier otra persona para que escuchen las alarmas cuando se les solicite ingresar información o ejecutar una aplicación desconocida.
Por supuesto, cuando se hacen cosas como transferir dinero, la precaución debe ser mucho mayor. Con los deepfakes, incluso ha habido casos de empleados que creyeron que sus superiores les habían mandado instrucciones legítimas para enviar dinero. La comunicación de gran importancia debe verificarse a través de un segundo canal no falsificable.
"La primera respuesta de todos debería ser visitar la organización directamente y buscar un mensaje en lugar de hacer clic en un enlace”, indica Bob Kelly, director de gestión de productos de Flexera.
Ejecutar simulaciones de phishing
La única forma de ver qué tan bien le está yendo a una empresa para combatir el phishing es realizar pruebas. Ejecutar campañas de phishing con contenido generado por IA es una parte importante para contrarrestar la amenaza. Llevar a cabo una campaña efectiva es un tema aparte, pero la raíz de una buena campaña comienza con el establecimiento de objetivos concretos; las métricas que pueden medirse deben usarse para guiar las pruebas. Un buen ejemplo es medir la frecuencia con la que se reportan los correos electrónicos de phishing y luego mover la aguja en ese indicador.
Crear una campaña contra el phishing también ayudará a recalcar cuán útiles pueden ser las herramientas de IA para generar contenidos eficaces. Esto ayudará a reforzar la necesidad de tomar el problema en serio. "Si bien la IA es persistente, es posible que su seguridad sea resistente si se refuerzan con frecuencia las mejores prácticas de seguridad y se ponen a prueba”, asegura Trevor Duncan, ingeniero de seguridad de JumpCloud. "Si actualmente no está involucrando a sus empleados en ataques simulados de ingeniería social, ese sería un gran elemento para agregar al plan del 2023 para mejorar su postura de seguridad y brindar resiliencia a su programa de seguridad”.
Incorporar herramientas que automaticen la detección de IA
OpenAI (la compañía detrás de ChatGPT) y otros han lanzado herramientas para detectar texto generado por IA. Estas herramientas seguirán mejorando junto con los generadores de NLP, y pueden integrarse y automatizarse para ayudar a detectar contenido malicioso. Muchos proveedores de herramientas de escaneo de correo electrónico están comenzando a aprovechar la IA para ayudar a afinar la forma en que entienden contextos, como los metadatos y la ubicación a la hora de evaluar qué es contenido legítimo. Combatir el fuego con fuego -en este caso, utilizar IA para combatir la IA- es una parte importante del futuro de la ciberseguridad.
La detección de phishing es una parte clave de una estrategia global de red e infraestructura, y resulta particularmente eficaz cuando el reconocimiento y la infiltración de la infraestructura asistidos por IA se combinan con la detección y prevención asistidas por IA. Muchas de las principales empresas de seguridad están incorporando este tipo de herramientas en sus ofertas, como Okta y DarkTrace.
"Los bots son una herramienta eficaz para los atacantes, porque aprovechan la IA y el aprendizaje automático para adaptarse rápidamente y superar la postura de seguridad cambiante”, explica Jameeka Green Aaron, CISO, identidad del cliente en Okta. "Si queremos mantenernos a la vanguardia, deberíamos aprovechar la automatización que está diseñada para ingerir inteligencia de amenazas en tiempo real, y la autenticación adaptativa, que es un método para verificar la identidad de un usuario en función de factores como la ubicación, el estado del dispositivo y el comportamiento del usuario final”.
La detección de IA es una frontera activa en la investigación de aprendizaje automático. Esa investigación continuará introduciéndose en la empresa como una herramienta para luchar contra el phishing basado en IA, y ese ámbito debería observarse de cerca en los próximos meses.
Proporcionar un mecanismo sencillo para reportar el phishing
Alertar a la seguridad sobre el phishing es esencial para hacer frente a los ataques basados en IA. Debido a que las campañas de IA se pueden producir en masa de manera más eficiente, es importante reconocerlas a medida que se desarrollan. Esto permite informar a los empleados rápidamente y proporciona información fundamental para las herramientas antiphishing y los modelos de detección de IA.
Además de facilitar la presentación de un reporte, asegúrese de que el mecanismo capture la mayor cantidad de información posible para mejorar su valor y hacerlo procesable. Reenviar un correo electrónico a una dirección de denuncias es bueno para capturar todos los encabezados y metadatos del correo, y un portal con un formulario simple es bueno para reportar los sitios web de phishing y similares. Los gobiernos incentivan cada vez más a las organizaciones a incluir políticas DMARC (autenticación, informes y conformidad de mensajes basados en el dominio), y CISA, que proporciona una serie de recomendaciones.
El informe de phishing es una parte vital de cualquier infraestructura de seguridad robusta; un informe efectivo se vuelve especialmente importante en el contexto de las campañas de IA debido a la capacidad mejorada de los actores maliciosos para escalar ataques de estilo spear-phishing (ataques que incorporan datos específicos desde dentro de la organización) al automatizar, recopilar e incorporar dicha información. Este es un buen aspecto en el que centrarse cuando se ejecutan pruebas de los sistemas de detección e informes de phishing.
Incorporar autenticación resistente al phishing
La autenticación basada en contraseña es inherentemente susceptible al phishing con técnicas como Captcha, que es particularmente vulnerable a la IA. Por otro lado, existen enfoques de autenticación que son resistentes al phishing. Las claves de acceso son probablemente el modo de autenticación más resistente al phishing. Todavía se están desarrollando e implementando, pero se vuelven cada vez más comunes. Una vez adoptadas, serán básicamente inviolables.
La autenticación multifactor (MFA) también ayuda, pues la exposición de un combo nombre de usuario-contraseña en un sitio o una interacción de phishing no es suficiente para que un hacker obtenga acceso a un recurso si se le solicita un autenticador secundario. CISA ha publicado una descripción general de los MFA resistentes al phishing.
Basado en el artículo de Matthew Tyson (CSO) y editado por CIO Perú
Puede ver también: