Desde que la inteligencia artificial se hizo un hueco en nuestras vidas (y en nuestras empresas) tuvimos la certeza de que la ciberseguridad iba a complicarse. Los pronósticos se quedaron cortos. Si antes de la aparición de la misma los fabricantes de soluciones de ciberseguridad reconocían que iban un paso por detrás de los ciberdelincuentes, Francisco Valencia, director general de Secure&IT, ha avanzado, en la jornada “Ciberseguridad en la era de la IA”, llevada a cabo por Secure&IT, que en este momento estamos 10 pasos por detrás del cibercrimen, al multiplicar la capacidad del atacante y reducir las barreras de entrada en minutos. “El tiempo ya no es un arma para defendernos, con una IA que conlleva nuevas maneras de atacar a nuestra infraestructura de inteligencia artificial”, ha manifestado.
David Aguilar, jefe del Grupo de Análisis y Cooperación Internacional del Departamento contra el Cibercrimen de la UCO, ha remarcado que uno de cada tres de los delitos se producen en el ámbito del cibercrimen, siendo el 90 % de los mismos ciberestafas. “Hemos evolucionado de actores aislados a un ecosistema cada vez más amplio y organizado gracias a la ingeniería social, la evolución de las nuevas tecnologías y el crimen como servicio, con un 90 % de los atacantes actuando como brokers digitales”, ha asegurado. Criminales que trabajan como una empresa y con el ransomware como una de las amenazas más extendidas.
El impacto de la IA en la ciberseguridad
Francisco Valencia ha reconocido que la IA es una infraestructura de poder capaz de hacernos pensar como quiere (antes atacaban servidores, ahora usan la guerra cognitiva) con países como EE.UU., China o Rusia ostentando el poder. El primero al tener el control de los chips, hiperescalares, modelos fundacionales y la nube. Los segundos por su espionaje, soberanía tecnológica o IA estatal. Y los terceros por usarla como estructura de poder en su guerra híbrida, desinformación y sabotaje. Todo ello sin olvidar a mercenarios como Corea del Norte. Y Europa actuando de regulador global, lo que nos deja atrás en la carrera con un déficit de soberanía digital.
¿Cómo usan los cibercriminales la IA para sus ataques? A través de los Dark LLM sin conceptos éticos, ha recordado, “porque, aunque la IA se basa en ética, la engañan y utilizan para todo tipo de ataques a través de los wrappers (aplicaciones o interfaces gráficas que utilizan modelos de IA como motor principal). Entre las herramientas utilizadas por los ciberatacantes figuran WormGPT o FraudGPT para crear phishing y fraude automatizo. Deep-Live-Cam y PersonaFoge para los deepfakes y suplantación de identidad o Xanthorox y DarkBard/DarkWizard para la creación de malware y exploit automatizado, “haciendo que cualquier hacker mediocre se convierta en un buen atacante”.
Otros de los problemas, para Francisco Valencia, llegan al venir la IA impuesta, no saber cómo van a utilizarla los empleados y su mayor despliegue, que conlleva un mayor riesgo de ataque. También ha observado que cuando los agentes están conectados a los datos los nuevos tipos de ataque envenenan los mismos. La gobernanza también resulta complicada con el shadow IT al haber pérdida de control sobre la información confidencial que se publica.
Todo ello impacta en las empresas en ciberataques mucho más potentes y rápidos, con un ransomware indetectable y con el peligro de contar con un mayor número de ataques en la cadena de suministro, incapaz de corregir vulnerabilidades al ritmo que la IA genera el riesgo, ha comentado. Por ello, aunque opina que no hay una solución mágica, ha recomendado coordinación para luchar contra todo ello y trabajar en todos los puntos, tanto en el ámbito jurídico como en la gobernanza, la seguridad de la cadena de suministro o la formación, priorizando siempre la seguridad.
La importancia de la normativa
Juan Manuel Valiente, director de Servicios de Secure&IT, ha puesto el acento en la preocupación de Europa por los datos y en su protección con normativas como la RGPD, NIS2, RIA, CRA, DORA, LPIC, DSA, DMA… También en la próxima creación del Centro Nacional de Ciberseguridad, que tal y como ha avanzado, va a ser la autoridad nacional única de gobernanza de la ciberseguridad, con el objetivo de dirigir, impulsar y coordinar todas las actividades necesarias para ejercer un adecuado cumplimiento, tanto de los organismos públicos como de las entidades privadas, supervisando, auditando y sancionando a las entidades que no cumplan con las necesidades en la materia. “Se va a asignar a varios organismos ser el supervisor para diferentes sectores, dependiendo todos ellos del Centro Nacional de Ciberseguridad”, ha apuntado.
También ha avisado sobre la “llegada del ómnibus digital de la UE” con el cambio de modificaciones en normativas como NISS2, la ley de la IA, la RGPD, la ley de infraestructuras críticas y el dato, aunque de momento se desconoce el contenido que va a variar en las mismas. Modificaciones que pretenden que empresas y AA.PP. tengan una carga regulatoria menor y hacerles más competitivos a nivel de IA.
Ámbito industrial
Hugo Llanos, director del Área de Ciberseguridad Industrial de Secure&IT, ha alertado sobre el retraso del sector industrial en materia de seguridad, 15 años por detrás, con predominio del legacy. “La seguridad no está ni se la espera”, ha afirmado con contundencia, con un gran número de fallos y resistencia a implantar medidas de seguridad”.
¿Cómo reducir la superficie de ataque?
Desde la firma de ciberseguridad, Bitdefender apuestan por soluciones como PHASR (desarrollada por la compañía) descrita por IDG como una tecnología revolucionaria y por Gartner como una innovación diferenciada en el mercado. PHASR utiliza algoritmos de IA para comprender cómo trabajan los usuarios y restringir lo que no necesitan, ha destacado Roberto Pérez, channerl account manager de Bitdefender. Entre sus características podemos destacar que potencia y puede convivir con cualquier ERD. Tiene un enfoque proactivo. Es muy sencilla de implementar. Y reduce en gran medida la superficie de ataque atendiendo al comportamiento del usuario.
Cómo proteger el negocio en la era de la IA
A la hora de proteger el negocio a Alberto López, CISO de Europa de Sigma Dos, le preocupa la observabilidad ya que tal y como ha señalado, “Con la IA agéntica necesitamos conocer las herramientas que usamos. Así lo ha señalado en la mesa redonda llevada a cabo durante el evento. Y es que, tal y como el directivo ha destacado, no tienen una visibilidad real completa del uso de la IA en un momento en el que se abre una gran cantidad de ecosistemas y superficies de ataque ante las que puede ocurrir cualquier cosa. Por ello ha demandado herramientas con IA que protejan a las organizaciones porque los atacantes ya cuentan con ellas.
Para Ibor Rodríguez, CIO de AMAVIR, su mayor preocupación viene de la mano de la gobernanza del dato. Además, opina que sobrevaloramos los riesgos de la IA, pensando que todo lo que dice es verdad, por lo que ha recomendado sentido común.
Más optimista, Carlos Navarro, CTO y CISO en Grupo Osborne, ha opinado que hay que confiar en que va a haber una alineación “entre buenos y malos” Y entre los retos pendientes ha subrayado la necesidad de que las soluciones evolucionen a la par de la sofisticación de los ataques.
Para Ibor Rodríguez el reto pasa por ayudar a la gobernanza y control de las herramientas de IA conversacionales, así como a la identificación y control de los usos de las mismas.
