Hace unas semanas, un amigo mío recibió un mensaje de su jefe:
"Hola Matt, ahora mismo estoy en una reunión por teleconferencia, no puedo hablar por teléfono pero avísame si has recibido mi mensaje. Gracias [nombre del jefe]".
Por si no es obvio, el mensaje era un phishing. Hay algunos indicios que lo delatan: hay algunos espaciados extraños, es raro firmar un texto y es inusual que su jefe necesitara hablar con Matt inmediatamente, pero no por teléfono.
Por muy burdo que fuera ese phishing, sigue siendo mejor que muchas estafas enviadas por correo electrónico: el phisher sabía el nombre de Matt, su número de teléfono y para quién trabaja. Los estafadores pueden utilizar esos datos para crear un señuelo más creíble y conseguir que alguien haga clic en un enlace, descargue un archivo o entregue información confidencial.
Phishing sigue siendo una de las principales causas de violaciones de la ciberseguridad. Esto no se debe a que los actores de amenazas sientan nostalgia por las viejas estafas, sino a que el phishing sigue funcionando.
Resulta preocupante que el lanzamiento de ChatGPT y otros bots pueda dar lugar a señuelos de phishing más inteligentes, ubicuos y eficaces.
Durante el último mes, ChatGPT ha estado en todas las noticias: profesores están preocupados por ello, will.i.am se refirió a ella en Davos, e incluso hay consejos sobre cómo utilizarla para aplicar la tecnología a citas en línea.
ChatGPT es un "nuevo chatbot de I.A. de vanguardia" que una New York Times llama "sencillamente, el mejor chatbot de inteligencia artificial jamás lanzado al gran público". Desarrollado por OpenAI, tiene la capacidad de generar texto similar al humano.
Aunque la herramienta puede tener muchas chiflado utiliza, algunos expertos en ciberseguridad están preocupados por lo que ChatGPT permitirá hacer a los actores de amenazas. CyberArk informó de que el bot ha creado "una nueva vertiente de malware polimórfico."
A otros les preocupa un uso más burdo, pero eficaz: utilizar las capacidades del lenguaje natural para crear señuelos de phishing más convincentes.
Los redactores humanos y los chatbots pueden combinarse para crear señuelos de phishing eficaces, ya que cada uno de ellos aporta puntos fuertes únicos.
Los redactores humanos entienden de ingeniería social y saben cómo elaborar mensajes atractivos y convincentes para sus destinatarios. También pueden entender el contexto y las referencias culturales que harían el mensaje más convincente para los destinatarios.
Por otro lado, los chatbots, como los modelos lingüísticos, entienden y generan lenguaje humano, lo que les permite imitar el estilo y el tono de las organizaciones reales. También pueden generar mensajes personalizados a escala, lo que aumenta las posibilidades de engañar a un destinatario.
Cuando se combinan, los redactores humanos pueden crear un mensaje de phishing que atraiga a un objetivo, y los chatbots pueden generarlo a escala y personalizarlo para cada destinatario. Esto hace que el mensaje de phishing sea más convincente y aumenta las posibilidades de éxito.
Creemos que esta combinación de actores de amenazas y bots podría convertirse en un verdadero problema, pero también tenemos algunas ideas sobre cómo abordarlo. Más información.
Cualquier cosa que reduzca la barrera de entrada podría ser una amenaza significativa. Con el tiempo, los ciberdelincuentes podrían enseñar a los bots a aprovechar las contraseñas o los correos electrónicos de las filtraciones de datos.
"Aunque ChatGPT es un servicio offline, lo que me preocupa es la combinación del acceso a Internet, la automatización y la IA para crear ataques avanzados persistentes", dijo Rob Hughes, CISO de RSA.
"Hemos visto lo persistente bombardeos inmediatos mermado la atención de los usuarios", prosigue Hughes. "Con los chatbots, ya ni siquiera se necesitaría un spammer para elaborar el mensaje. Podrías escribir un guión que dijera: 'Familiarízate con los datos de Internet y sigue enviando mensajes a fulanito hasta que haga clic en el enlace'. Entregar la operación a un bot que no se da de baja, no se rinde y trabaja con cientos de usuarios simultáneamente podría cambiar realmente la naturaleza de los ataques de phishing al permitir herramientas de spear-phishing distribuidas y fáciles de usar."
Chatbots, Estafas telefónicas, o redes de botsEl formato y la herramienta son lo de menos: ya sea un archivo de audio, un correo electrónico u otro medio, el formato y la herramienta no importan.
Lo que importa es que estamos desarrollando herramientas de IA que podrían estar a punto de producir amenazas nuevas y cada vez más inteligentes más rápido de lo que los delincuentes humanos pueden producirlas, y de propagar esas amenazas más rápido de lo que el personal de ciberseguridad puede responder.
La única forma de que las organizaciones puedan seguir el ritmo del cambio es controlar los bots mediante bots: los mismos principios subyacentes que permiten a un ChatGPT escribir chistes o trabajos trimestrales progresivamente mejores pueden también entrenar a los sistemas de seguridad para reconocer y responder a comportamientos sospechosos.
Motores de riesgo como RSA® IA de riesgo puede utilizar la recopilación de datos, la comparación de dispositivos, la detección de anomalías y el análisis del comportamiento para comprobar los intentos de acceso. La IA de riesgos examina el contexto de una solicitud de acceso -quién solicita un recurso, cuándo lo hace, qué dispositivo utiliza y otras señales- para determinar y responder al riesgo en tiempo real.
En última instancia, esas capacidades ayudan a los equipos de seguridad a tomar más decisiones de seguridad, mejor informadas, más inteligentes y mejores.
No son solo los usos maliciosos de la IA los que pueden suponer una amenaza para la ciberseguridad de las organizaciones: los usos empresariales deliberados de la IA, incluida la automatización robótica de procesos (RPA), pueden tomar muchas más decisiones mucho más rápido de lo que cualquier humano individual puede seguir.
Asimismo, la tormenta perfecta de entornos multicloud y gestión de identidades inadecuada está llamada a ampliar los fallos de seguridad en la nube y exponer a las organizaciones a más riesgos, provocando 75% de fallos de seguridad en la nube para 2023
Una vez más, las organizaciones necesitan soluciones que puedan adaptarse al problema: RSA® Gobernanza y ciclo de vida puede automatizarlo casi todo: la solución puede incorporar automáticamente usuarios con los derechos adecuados, aplicar políticas de altas y bajas, y automatizar el aprovisionamiento, la supervisión y la elaboración de informes.
Póngase en contacto con nosotros para obtener más información sobre el uso de la IA en IAM.
Bots siempre activos programados para el phishing; scripts RPA que se ejecutan sin que nadie los vigile; leones, tigres y osos: siempre va a haber otra amenaza.
"Los equipos de ciberseguridad no siempre pueden predecir cuál va a ser la próxima amenaza ni de dónde va a venir", afirma Hughes.
"No se centre en los titulares. Céntrate en lo que puedes controlar: educa a tus usuarios, utiliza la autenticación multifactor y avanza hacia la confianza cero. Son algunas de las mejores formas de protegerse frente a las amenazas que conocemos hoy y mantenerse protegido frente a las que vendrán mañana."
###
Póngase en contacto con nosotros y aprenda a combatir los bots con bots.
