HIGHLIGHTS
“Un 35% de los profesionales de ciberseguridad reconoce que la IA ya está afectando a su día a día, especialmente en las técnicas defensivas”
“Los LLM permiten a los analistas del SOC dedicar más tiempo a tareas estratégicas, aumentando la productividad y los tiempos de respuesta”
“La IA se utiliza principalmente en el cibercrimen para mejorar estafas sociales, traducir a escala y crear correos de phishing casi indetectables”
“Los modelos multimodales de IA, al combinar datos de texto e imágenes, permiten anticiparse a ataques complejos con una precisión sin precedentes”
Índice de temas
Un 35% de los profesionales de ciberseguridad reconoce que la IA ya está afectando a su día a día, según el ISC2. ¿Cómo impacta en las técnicas defensivas?
La IA ayuda a informar y automatizar sobre gran parte del trabajo en el SOC. Los principales players en el campo de las defensas de ciberseguridad llevan más de una década utilizando pequeños modelos Machine Learning para detectar actividades maliciosas. Los LLM han abierto nuevas vías en las que los modelos pueden ayudar al SOC, tanto a detectar y explicar la actividad maliciosa como a automatizar partes del flujo de trabajo de un analista del SOC. Esto permite a los analistas del SOC dedicar más tiempo a realizar tareas que requieren de su experiencia, y aumenta drásticamente la escalabilidad, la productividad y los tiempos de respuesta del SOC.
Los principales players en el campo de las defensas de ciberseguridad llevan más de una década utilizando pequeños modelos Machine Learning para detectar actividades maliciosas. Los LLM han abierto nuevas vías en las que los modelos pueden ayudar al SOC, tanto a detectar y explicar la actividad maliciosa como a automatizar partes del flujo de trabajo de un analista del SOC
JOHN SHIER, SOPHOS
Con el avance de la IA, ¿qué papel juega el phishing profundo o deep phishing en el cibercrimen?
No estoy seguro de lo que significa phishing profundo. Pero en general, hemos demostrado con nuestro trabajo en Scampaign que los atacantes ya no necesitan elegir entre escala y personalización. Pueden diseñar y automatizar campañas dirigidas a escala.
¿El concepto de ‘ciberdelincuente novato con superpoderes de IA’ es una exageración, o estamos asistiendo a una democratización del cibercrimen?
Los novatos y aspirantes a cibercriminales siempre han tenido la capacidad de hacerse con toolkits que les ayuden en sus objetivos. Los modelos de IA podrían servir de apoyo a estos novatos y ayudarles a adquirir un nivel superior, pero su uso requiere de algún tipo de experiencia en otras áreas, ya sea ser capaces de alojar modelos de código abierto que no tienen guardarraíles o barreras de seguridad, o saltarse los guardarraíles y las medidas de seguridad implementadas en los modelos basados en API de OpenAI, Anthopic u otros proveedores de modelos.
Más allá de los titulares y el sensacionalismo, ¿cómo se está usando realmente la IA en el mundo del cibercrimen? ¿Es la IA más útil para los atacantes en la etapa de planificación, ejecución, o evasión de detección?
En su mayor parte, los ciberdelincuentes utilizan la IA exclusivamente para las estafas sociales, y las partes sociales de los ataques tradicionales. La IA permite una traducción precisa y a escala, aumentando drásticamente la calidad de las estafas sociales. También se puede utilizar para crear correos electrónicos de phishing de alta calidad que no se distinguen de los reales. Por otro lado, los chatbots de IA también son muy útiles para iniciar conversaciones con víctimas potenciales y tenderles el anzuelo. Una vez que se ha captado a la víctima, los humanos suelen tomar el relevo, pero pueden seguir utilizando la IA para que les ayude con la traducción y la gramática. Otro ámbito en el que la IA puede ser útil es en la evaluación del valor de grandes volúmenes de datos robados. Utilizando la IA, un delincuente podría identificar más rápidamente los datos de alto valor y venderlos a un precio superior o utilizarlos como mecanismo de presión adicional contra la víctima.
Se habla de un “sexto sentido” en la ciberdefensa gracias a la IA multimodal. ¿Podrías explicar cómo funciona esta tecnología y en qué casos ha permitido anticiparse a ataques de alta complejidad?
El Machine Learning y los modelos de IA solo pueden ser tan buenos como los datos que se introducen en ellos. Los modelos que operan en múltiples modalidades son capaces de extraer más información de los datos de entrada, y son capaces de utilizar esa información para tomar mejores decisiones. Younghoo Lee, principal científico de datos en Sophos AI, presentó recientemente una charla en Virus Bulletin en la que demostró las limitaciones de intentar detectar correos electrónicos y HTML maliciosos, y cómo el uso de datos simultáneo, tanto de texto como de imágenes, puede aumentar el rendimiento en esas aplicaciones. De este modo, la IA multimodal se convierte en un asistente más capaz y potente para un analista de amenazas a la hora de detectar y hacer frente a las ciberamenazas. Al ser capaz de ingerir y procesar diferentes tipos de datos, como asuntos de correo electrónico, contenido, logotipos e imágenes adjuntas, además del texto del correo electrónico, el modelo puede identificar más indicadores maliciosos.
