¿Cómo funcionan los ciberataques basados en IA?

La IA se ha convertido en una tecnología clave en todas las herramientas de TI de las empresas, así como ha pasado a ser otra arma del arsenal de los ciberdelincuentes.

Los ciberataques basados en IA aprovechan algoritmos y técnicas de IA o aprendizaje automático (ML) para automatizar, acelerar o mejorar varias fases de un ciberataque. Esto incluye identificar vulnerabilidades, implementar campañas a lo largo de vectores de ataque identificados, avanzar rutas de ataque, establecer puertas traseras en los sistemas, exfiltrar o manipular datos, e interferir con las operaciones del sistema.

Como todos los algoritmos de IA, los que se emplean en ciberataques basados en IA pueden aprender y evolucionar con el tiempo. Esto significa que los ciberataques basados en IA pueden adaptarse para evitar su detección o crear un patrón de ataque que un sistema de seguridad no pueda detectar.

Características de los ciberataques basados en IA

Los ciberataques basados en IA tienen cinco características principales:

• Automatización del ataque: hasta hace muy poco, la mayoría de los ciberataques requerían la intervención de un adversario humano. Sin embargo, el acceso creciente a herramientas basadas en IA y en IA generativa está permitiendo que los adversarios automaticen la investigación y ejecución de ataques.
• Recopilación eficiente de datos: la primera fase de un ciberataque es el reconocimiento. Durante esta etapa, los ciberatacantes buscarán objetivos, vulnerabilidades explotables y recursos que puedan emplear para sus fines maliciosos. La IA puede automatizar o acelerar gran parte de esta labor, lo que permite a los adversarios acortar drásticamente la fase de investigación y mejorar potencialmente la precisión y la integridad del análisis.
• Personalización: una de las capacidades principales de la IA es la extracción de datos, un proceso consistente en recopilar y analizar información de fuentes públicas, como redes sociales y sitios web corporativos. En el marco de un ciberataque, esta información puede usarse para crear mensajes hiperpersonalizados, relevantes y oportunos que sirven como base para ataques de phishing y otros ataques que aprovechan técnicas de ingeniería social.
• Aprendizaje por refuerzo: los algoritmos de IA aprenden y se adaptan en tiempo real. Del mismo modo que estas herramientas evolucionan continuamente para facilitar información más precisa a los usuarios corporativos, también lo hacen para ayudar a los adversarios a mejorar sus técnicas o evitar que los detecten.
• Selección de empleados: al igual que los ataques pueden personalizarse, la IA puede emplearse para identificar trabajadores en una organización que sean víctimas idóneas. Se trata de personas que pueden tener acceso a datos sensibles o con amplios permisos de acceso en el sistema, o bien individuos con una aparente menor aptitud tecnológica o con una relación estrecha con otras víctimas clave.

Tipos de ciberataques basados en IA

Hay muchos tipos de ciberataques basados en IA y aprendizaje automático. Veamos algunos ejemplos:

Ataques de ingeniería social basados en IA

Los ataques de ingeniería social basados en IA aprovechan algoritmos de IA para facilitar la investigación, la conceptualización creativa o la ejecución de un ataque de ingeniería social. Un ataque de ingeniería social es cualquier tipo de ciberataque que tiene por objetivo manipular el comportamiento humano para cumplir un propósito, como compartir datos confidenciales, transferir dinero o la propiedad de artículos de alto valor, u otorgar acceso a un sistema, una aplicación, una base de datos o un dispositivo.

En un ataque de ingeniería social basado en IA se puede emplear un algoritmo para hacer lo siguiente:

• Identificar una víctima ideal; esto incluye tanto al objetivo corporativo en sentido amplio como a un individuo dentro de la organización que pueda facilitar el acceso al entorno de TI
• Elaborar un perfil y una presencia en línea que permitan comunicarse con la víctima
• Crear un escenario realista y plausible que genere atención
• Escribir mensajes personalizados o crear recursos multimedia, como grabaciones de audio o secuencias de vídeo, para atraer a la víctima

Ataques de phishing basados en IA

Los ataques de phishing basados en IA emplean IA generativa para crear correos electrónicos, mensajes SMS, comunicaciones telefónicas o publicaciones en redes sociales con un alto grado de personalización y realismo para lograr el resultado deseado. En la mayoría de los casos, los objetivos de estos ataques son los mismos que los de un ataque de ingeniería social: acceder a información confidencial, obtener acceso a un sistema, recibir fondos o incitar a un usuario a instalar un archivo malicioso en su dispositivo.

En casos avanzados, la IA puede utilizarse para automatizar la comunicación en tiempo real empleada en los ataques de phishing. Por ejemplo, los chatbots basados en IA pueden interactuar con los usuarios de modo que resulta muy complicado distinguir que no se trata de una persona real. Los ciberdelincuentes pueden utilizar estas herramientas, implementadas a gran escala, para intentar comunicarse con innumerables personas simultáneamente. En muchos casos, estos chatbots suplantan a agentes de servicio o atención al cliente para tratar de recopilar información personal y credenciales de cuenta, restablecer contraseñas de cuenta o acceder a un sistema o dispositivo.

Deepfakes

Un deepfake es un archivo de vídeo, imagen o audio generado mediante IA que tiene como propósito engañar a las personas. Los deepfakes suelen aparecer en Internet con el único fin de entretener y confundir. Con todo, también pueden usarse de forma más maliciosa como parte de campañas de desinformación, bulos, difamaciones de personalidades destacadas o ciberataques.

En el marco de un ciberataque, un deepfake suele formar parte de una campaña de ingeniería social. Por ejemplo, un ciberdelincuente puede utilizar imágenes existentes de un líder corporativo o de un cliente para crear una grabación de voz o un vídeo manipulados. La herramienta puede imitar la voz de la persona y ordenar a otra que realice una acción específica, como transferir fondos, cambiar una contraseña u otorgar acceso al sistema.

IA/ML adversarial

La IA o el ML adversarial consisten en la alteración del rendimiento o la disminución de la precisión de los sistemas de IA/ML por parte de un ciberdelincuente mediante manipulación o desinformación deliberada.

Los ciberdelincuentes utilizan varias técnicas de IA/ML adversarial que atacan distintas áreas del desarrollo y la operación de los modelos. Algunas de ellas son:

• Ataques de envenenamiento: los ataques de envenenamiento atacan los datos de entrenamiento del modelo de IA/ML, que es la información que dicho modelo utiliza para entrenar el algoritmo. En un ataque de envenenamiento, el adversario puede inyectar información falsa o engañosa en el conjunto de datos de entrenamiento para comprometer la precisión u objetividad del modelo.
• Ataques de evasión: los ataques de evasión atacan los datos de entrada de un modelo de IA/ML. Estos ataques aplican cambios sutiles a los datos que se comparten con el modelo, lo que provoca que se clasifiquen erróneamente y afecta negativamente a las capacidades predictivas del modelo.
• Manipulación del modelo: la manipulación del modelo ataca los parámetros o la estructura de un modelo de IA/ML previamente entrenado. En estos ataques, un adversario realiza alteraciones no autorizadas al modelo para comprometer su capacidad de crear resultados precisos.

GPT maliciosos

Un transformador generativo preentrenado (GPT) es un tipo de modelo de IA que puede producir texto inteligente en respuesta a las indicaciones del usuario. Un GPT malicioso se refiere a una versión alterada de un GPT que produce resultados dañinos o deliberadamente desinformados.

En el marco de los ciberataques, un GPT malicioso puede generar vectores de ataque (como malware) o materiales de ataque de apoyo (como correos electrónicos fraudulentos o contenido falso en línea) para facilitar un ataque.

Ataques de ransomware

El ransomware basado en IA es un tipo de ransomware que aprovecha la IA para mejorar su rendimiento o automatizar algunos aspectos de la ruta de ataque.

Por ejemplo, la IA puede emplearse para investigar a las víctimas, identificar vulnerabilidades del sistema o cifrar datos. La IA también puede utilizarse para adaptar y modificar los archivos de ransomware a lo largo del tiempo, haciéndolos más difíciles de detectar con herramientas de ciberseguridad.

Cómo mitigar los ciberataques basados en IA

La tecnología de IA hace que sea potencialmente más fácil y rápido para los ciberdelincuentes llevar a cabo ciberataques; reduce efectivamente la barrera de entrada para algunos actores y aumenta el nivel de sofisticación de los ya establecidos. Los ataques basados en IA suelen ser más difíciles de detectar y prevenir que aquellos que emplean técnicas tradicionales y procesos manuales, lo que los convierte en una amenaza de seguridad importante para todas las empresas.

En esta sección, ofreceremos recomendaciones en cuatro categorías clave para protegerse y defenderse de los ciberataques basados en IA.

Realizar evaluaciones de seguridad de forma continua

• Implementa una plataforma de ciberseguridad integral que ofrezca supervisión continua, detección de intrusiones y protección de endpoints.
• Determina referencias para la actividad del sistema y el comportamiento del usuario que sirvan como estándar comparativo para la actividad futura y establece análisis de comportamiento de los usuarios y las entidades (UEBA). Lo ideal sería que esto se integrase con otras actividades del entorno, como la actividad del endpoint y del entorno de la nube.
• Analiza los sistemas para detectar actividad anormal de los usuarios o cambios inesperados en el entorno que puedan indicar un ataque.
• Implanta análisis en tiempo real de datos de entrada y salida para tu sistema de IA/ML; así podrás protegerte contra ataques de IA adversarial.

Desarrollar un plan de respuesta a incidentes

Un plan de respuesta a incidentes describe los procedimientos, pasos y responsabilidades de una organización en caso de sufrir un ciberataque. Este plan se basa en cuatro áreas clave, según la definición del Instituto Nacional de Estándares y Tecnología (NIST):

• Preparación: elabora un plan para ayudar a prevenir eventos de seguridad y responder a los ataques cuando ocurran.
• Detección y análisis: confirma si se ha producido un evento de seguridad y, en caso afirmativo, determina su gravedad y tipología.
• Contención y erradicación: restringe el uso y funcionamiento del sistema para limitar la propagación del ataque y su impacto; ejecuta tácticas de corrección para restaurar el uso del sistema y aplicar los parches oportunos a cualquier vulnerabilidad.
• Recuperación: coordina la implementación de medidas de seguridad adicionales para prevenir ataques similares en el futuro y protegerte contra una mayor gama de amenazas.

Formar a los empleados para que sean conscientes de los riesgos

• Añade al curso de formación en seguridad existente un módulo que se centre específicamente en ataques basados en IA.
• Céntrate en cuán realistas y convincentes pueden ser las técnicas de ataque basadas en IA; particularmente en lo relacionado con técnicas de ingeniería social y ataques mediante deepfakes de texto o audio.
• Para protegerte contra ataques de IA adversarial, forma a los equipos para que puedan reconocer actividades o resultados sospechosos relacionados con sistemas basados en IA/ML.

Implementar soluciones basadas en IA

Tal como los ciberdelincuentes pueden usar la IA como arma, las organizaciones pueden emplearla para contrarrestar los ataques basados en IA.

• Adopta la ciberseguridad basada en IA que permite a las organizaciones aprovechar esta tecnología para analizar grandes conjuntos de datos e identificar patrones.
• Aprovecha las herramientas basadas en IA para automatizar las tareas relacionadas con la seguridad, como la supervisión, el análisis, la aplicación de parches, la prevención y la corrección.
• Desarrolla parámetros del sistema que alerten a los equipos sobre actividades de alto riesgo y les ayuden a priorizar las respuestas.

La plataforma basada en IA de CrowdStrike

La plataforma CrowdStrike Falcon^® es la plataforma de ciberseguridad basada en IA para la era de la detección y respuesta extendidas (XDR).

La plataforma Falcon unifica los datos, la seguridad y la TI gracias a la IA generativa y la automatización de flujos de trabajo, ambas integradas de forma nativa para acabar con las brechas, reducir la complejidad y disminuir los costes.

Cómo la plataforma Falcon aprovecha el poder de la IA:

• Saca provecho de los indicadores de ataque (IOA) basados en IA y del análisis de comportamiento basado en IA para detectar mejor las amenazas
• Gracias a CrowdStrike Falcon^® Identity Threat Detection, usa IA para brindar visibilidad sobre ataques basados en identidades y frustrar el movimiento lateral de los ataques en las redes
• Aporta capacidades basadas en IA a la detección y respuesta extendidas ante amenazas en endpoints con CrowdStrike Falcon^® Insight XDR
• Integra soluciones basadas en IA como ExPRT.AI de CrowdStrike Falcon^® Spotlight, que presenta funcionalidades con IA para gestionar vulnerabilidades, y CrowdStrike^® Charlotte AI™, el asistente de seguridad inteligente con IA generativa de CrowdStrike

¿Quieres saber cómo puede aprovechar tu organización el poder de la IA para defenderse de los ciberataques más sofisticados? Ponte en contacto con nosotros para obtener más información sobre la plataforma CrowdStrike Falcon y programar una demo.

Programar demo