Si el cibercrimen fuera un país, sería la tercera mayor economía del mundo después de Estados Unidos y China, según el World Economic Forum. En este contexto, surge la Inteligencia Artificial generativa (en adelante GenAI) como un arma de doble filo, que ofrece toda una gama de nuevas capacidades tanto para la comisión de delitos como para la defensa. Según el informe Digital Trust 2024, se espera que las empresas recurran cada vez más a la IA generativa para garantizar su ciberseguridad.
A continuación, recuperamos varios extractos de nuestro podcast Take on Tomorrow, donde analizamos el papel fundamental de la GenAI en la ciberseguridad con Sarah Armstrong-Smith, Chief Security Advisor de Microsoft en EMEA.
Strategy+Business: ¿Cómo es la ciberdelincuencia hoy en día? ¿Cuáles son los tipos de ataques más comunes que ves en el día a día de tu trabajo?
Sarah Armstrong-Smith: Más del 80% de todos los ciberataques comienzan con un correo electrónico o con mensaje de texto de phishing. Pero lo que estamos viendo en los últimos 12 meses es que el número de ataques basados en la identidad se han disparado. Y lo pongo en perspectiva. Microsoft bloquea más de 240.000 ataques basados en identidad cada minuto de cada día. Esto es, en esencia, un atacante que es capaz de acceder a tu contraseña y utilizarla, en lo que denominamos password sprays. Están atacando los comercios y a las empresas del sector financiero, simplemente, viendo en cuántas cuentas son capaces de entrar. A partir de ahí, todo sigue en espiral. Estamos viendo comprometidos correos electrónicos de empresas a niveles sin precedentes. Hemos rastreado 156.000 intentos diarios, y el ransomware también ha tenido un crecimiento del 200% en los últimos 12 meses.
Strategy+Business: Si eres una organización, ya sea una empresa o una entidad pública, ¿cómo te defiendes contra los ciberataques?
Sarah Armstrong-Smith: En primer lugar, por muy buenas que sean tus intenciones, que cuentes con la mejor tecnología, la mejor formación y una gran concienciación, tienes que asumir que alguna de esas amenazas te va a llegar y va a acceder a tus datos. En segundo lugar, tenemos que ser conscientes que la mayoría de la gente, en el entorno de trabajo, tiene muchos privilegios de acceso. Y si llevas muchos años en esa organización es muy difícil que te retiren esos privilegios. Así que, desde la perspectiva de un atacante, eres una vía de acceso. ¿Cómo diferenciar entre un usuario comprometido y un usuario malicioso? Solo porque alguien se presente con el dispositivo correcto, el inicio de sesión correcto, no significa que no tengamos que seguir vigilando lo que hace después. ¿Están intentando acceder a cosas a las que normalmente no acceden? Estamos hablando de actuar bajo el principio de la confianza cero.
Strategy+Business: ¿Cómo encaja la IA generativa en este panorama? ¿Se está utilizando para fomentar los ciberataques? Quiero decir, ¿es tan simple como, ya sabes, escribir un mensaje que diga, escríbeme un correo de phishing? ¿Y luego se despliega en un montón de objetivos desprevenidos?
Sarah Armstrong-Smith: Sí. Es muy interesante, especialmente cuando hablamos de IA generativa. Su uso es relativamente nuevo, solo existe desde hace dos años. Si pensamos en algo como ChatGPT, por ejemplo, que se creó hace poco más de un año, la gente empieza a preocuparse de que la propia máquina esté escribiendo un correo electrónico de phishing. Así que creo que lo primero que queremos asegurarnos es que la gente entienda que la máquina en sí no está haciendo nada; es el ser humano el que está detrás el que lo hace. Se trata de manipular la aplicación. Así que, si le digo: escríbeme un correo de phishing en ABC, si ha sido programada correctamente, dirá: “Soy una IA responsable. No voy a hacer eso”. La forma de evitarlos es imaginar que trabajas en marketing y decirle a la máquina, cómo redactaría un email de tal manera que incitara a alguien a querer ir a mi sitio web. Lo importante no es lo que decimos, sino cómo lo decimos. Lo que estamos viendo es una gran área de atención a lo que llamamos prompt engineering (creación de modelos de lenguajes naturales) o cómo tratar de eludir algunos de los controles que las tecnológicas o el resto de empresas tienen activados.
Strategy+Business: ¿Existe una aplicación defensiva de la IA generativa que puedan aprovechar las compañías?
Sarah Armstrong-Smith: Por supuesto, una de las cosas por las que ChatGPT y la IA generativa sean tan populares y buenas en lo que hacen es el hecho de que puedes hacer una pregunta en inglés o en cualquier otro idioma y obtener una respuesta en ese idioma. Supongamos que hay una nueva cepa de malware. Nunca antes estas tecnologías habían visto este malware. ¿Puede decirme qué hace el código? ¿Puede decirme también cuándo se añadió el código al sistema? ¿Cómo puedo eliminar los códigos? Hay muchas aplicaciones reales como esta.
