Videos de fallas. Errores de ortografía. No parpadear. Audio robótico. Tono antinatural.
Las características históricas de un ciberataque de Deepfake pueden parecer evidentes para el individuo bien informado, pero si los eventos de noticias recientes nos han enseñado nada, los humanos ya no se pueden confiar en detectar correctamente el contenido generado por la IA, como los profundos.
Sin embargo, muchos marcos de seguridad en línea aún dependen de la intervención humana como un mecanismo de defensa crucial contra los ataques. Por ejemplo, se espera que los empleados detecten correos electrónicos y estafas de phishing después de completar la capacitación corporativa de ciberseguridad. La verificación de identidad remota a menudo se basa en una verificación manual de imágenes cargadas, o una videollamada de persona a persona para verificar la identidad de un usuario.
La realidad hoy es que los humanos ya no pueden detectar contenido generativo de IA y ya no deberían seguir siendo un mecanismo de defensa central. Se necesita urgentemente un nuevo enfoque.
Fundador y CEO de IProov.
El panorama de la amenaza está cambiando dos veces
El fraude con IA y los ataques cibernéticos han capturado varios titulares recientemente. Un ejemplo notable fue la firma de ingeniería global Arup, que fue víctima de una estafa de £ 20 millones de profundos después de que un empleado de finanzas fuera engañado para enviar efectivo a los delincuentes, luego de una serie de videocamas generadas por AI de altos funcionarios.
En el incidente, el CIO global de Arup, Rob Greig, dijo: “Al igual que muchas otras empresas en todo el mundo, nuestras operaciones están sujetas a ataques regulares, incluidos el fraude de facturas, las estafas de phishing, la falsificación de la voz de WhatsApp y los esfuerzos profundos. Lo que hemos visto es que el número y la sofisticación de estos ataques han estado aumentando bruscamente en los últimos meses”.
Aquí, Greig subraya los dos cambios más grandes que la IA está conduciendo en el panorama de amenazas hoy: los ataques están aumentando en volumen y sofisticación. Las herramientas generativas de IA que pueden crear video, audio y mensajes ahora están ampliamente disponibles y están acelerando la velocidad y la escala a la que se pueden lanzar ataques. Además, la tecnología se ha vuelto tan sofisticada que no se puede esperar razonablemente que los humanos detecten ataques con IA.
Otras organizaciones también están empezando a preocuparse; Una reciente encuesta de IPROOV sobre tomadores de decisiones tecnológicos encontró que el 70% cree que los ataques generados por IA afectarán significativamente a sus organizaciones, mientras que más de dos tercios (62%) se preocupan de que su organización no esté tomando la amenaza lo suficientemente en serio.
Hay varias formas en que la IA está transformando los ataques tradicionales.
Phishing obtiene una potencia
A pesar de la conciencia generalizada de las técnicas de ingeniería social, este método sigue siendo altamente efectivo en los ataques cibernéticos. El informe de Investigaciones de violaciones de datos de Verizon 2023 reveló que el phishing estuvo involucrado en el 36% de las infracciones en 2022, lo que lo convierte en el tipo de ataque más común.
Es común que las organizaciones enseñen a los empleados sobre detectar ataques de phishing, como buscar errores tipográficos, errores de gramática o formateo incómodo. Pero con AI capaz de crear, pulir y escalar rápidamente mensajes de phishing personalizados, esas sesiones de entrenamiento se han vuelto redundantes.
Herramientas como WORMGPT, un primo malicioso de ChatGPT, están permitiendo a los malos actores crear mensajes de phishing convincentes y personalizados rápidamente sin ningún error y en ningún idioma.
La IA también está ayudando a hacer que Spear-Phishing (ataques de ingeniería social altamente específica) sea aún más impactante y escalable. Los ataques tradicionales de ingeniería social se vuelven aún más convincentes cuando se combinan con una llamada telefónica o nota de voz de Deepfake de un pariente o colega, por ejemplo, al igual que el incidente de Arup.
Con la IA creando contenido convincente que ya no requiere un alto conjunto de habilidades técnicas, el número de atacantes potenciales se amplía enormemente. La barrera de entrada para crear estos ataques también es mucho más baja que antes, con herramientas de IA generativas que ahora son fácilmente accesibles desde los mercados de crimen como servicio.
La incorporación se convierte en un objetivo superior
La incorporación remota, el punto en el que un usuario establece el acceso por primera vez a un sistema o servicio y verifica su identidad, es un punto de alto riesgo en los viajes de usuario para cualquier organización, y es otra área que atacan los ataques. Permitir un acceso criminal a los sistemas o cuentas de una organización puede causar daños significativos y no controlados que pueden en espiral rápidamente. Considere con qué facilidad un criminal podría pedir prestado dinero fraudulentamente, robar identidades o armarse los datos de la compañía una vez que se les haya dado una cuenta o el acceso otorgado.
KnowBe4, una compañía de ciberseguridad estadounidense, recientemente compartió detalles de un ataque que enfrentó que ilustra este riesgo demasiado bien. Contrataron sin darse cuenta a un hacker norcoreano que usó IA y una identificación robada para engañar a los equipos de contratación y el proceso de verificación de identidad. Una vez a bordo, el impostor casi inmediatamente trató de cargar malware antes de ser detectado.
Verificar las identidades de forma remota es mucho más común en la era global y digital actual. Ya sea contratar a un nuevo empleado como el ejemplo de KnowBe4, crear una cuenta bancaria o acceder a los servicios gubernamentales; La gente está mucho más acostumbrada a verificar su identidad de forma remota. Sin embargo, los métodos tradicionales como las videollamadas con operadores humanos claramente ya no pueden defenderse contra los impostores de Deepfake. Como dijo el CEO de KnowBe4: “Si nos puede pasar a nosotros, puede pasarle a casi cualquier persona. No dejes que te suceda”.
Entonces, ¿cómo pueden las organizaciones evitar que les suceda?
Luchando contra el fuego con fuego
Ninguna organización puede ignorar las amenazas emergentes de IA: los ejemplos KnowBe4 y Arup deben sonar alarmas para cualquier empresa. También subrayan cómo los humanos vulnerables son como método de defensa. No se puede esperar que los empleados vean cada correo electrónico de phishing inteligentemente disfrazado, ni los operadores humanos pueden administrar sin problemas la verificación de identidad remota. Los malos actores explotan a sabiendas vulnerabilidades humanas.
Nuestro reciente estudio de detección de Deepfake encontró que solo el 0.1% de los 2,000 participantes podía distinguir con precisión el contenido real de los falsos, y a pesar de este bajo rendimiento, más del 60% de las personas confiaba en la precisión de sus habilidades de detección. Independientemente de la confianza que alguien pueda sentir escudriñando una foto o un mensaje de correo electrónico de Deepfake durante una sesión de capacitación cibernética, las posibilidades de detectarlos cuando se recibe una notificación en la vida real durante una jornada laboral ocupada o mientras sale de hacer mandados es considerablemente menor.
La buena noticia es que la IA es tanto espada como escudo. Y afortunadamente, los líderes tecnológicos están reconociendo el poder de la tecnología como la solución, con el 75% recurriendo a los sistemas biométricos faciales como defensa principal contra Deepfakes y la mayoría reconociendo el papel crucial de la IA en la defensa de estos ataques.
Los sistemas de verificación biométrica están transformando la verificación remota de identidad en línea, lo que permite a las organizaciones verificar que el usuario en el otro extremo de la pantalla no sea solo la persona adecuada, sino una persona real. La garantía de la vida, como se llama, evita que los atacantes usen copias robadas o compartidas de las caras de las víctimas o las imágenes sintéticas forjadas.
Las organizaciones deben ser conscientes de que lo que realmente diferencia los sistemas biométricos es la calidad de esta garantía de la habilidad y no todos los sistemas de garantía de la vida son iguales. Si bien muchas soluciones afirman ofrecer una seguridad sólida, las organizaciones deben profundizar y hacer preguntas críticas.
¿La solución ofrece una garantía de manera que se adapta continuamente a las amenazas en evolución como los profundos a través del aprendizaje a la IA? ¿Cree un mecanismo único de respuesta de desafío para que cada autenticación sea única? ¿El proveedor tiene un centro de operaciones de seguridad dedicado que proporciona una caza de amenazas proactiva y una respuesta de incidentes para mantener el ritmo de las amenazas emergentes y garantizar que las defensas sigan siendo sólidas?
La implementación de estas soluciones más avanzadas es fundamental para mantenerse por delante de los ataques en constante evolución, reduciendo la carga de las personas y, en última instancia, reforzando la seguridad organizacional en el panorama de amenazas impulsado por la IA.
Enumeramos el mejor software de gestión de identidad.
Este artículo fue producido como parte del canal de Insights Expert de TechRadarpro, donde presentamos las mejores y más brillantes mentes de la industria de la tecnología en la actualidad. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarpro o Future PLC. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
