Es posible que el Mes de Concientización sobre la Ciberseguridad no tenga el mismo atractivo que otros sellos distintivos de octubre, contemplar el follaje bruñido o dar un atracón de dulces de Halloween, pero puede impulsar a los líderes corporativos y a los consumidores a participar en un ritual importante: reevaluar su enfoque de la ciberseguridad.

Y hay mucho sobre lo que reflexionar durante el año pasado. Las compañías especialmente deberían preguntar este mes (y todos los meses): ¿Cómo cambió el panorama de las amenazas en línea? ¿Y las prácticas de seguridad de su compañía están haciendo lo suficiente para seguir el ritmo de esos cambios?

Sin lugar a dudas, la inteligencia artificial fue el mayor cambio de juego de este año. Las herramientas de IA, incluidos los grandes modelos de lenguaje (LLM) como ChatGPT, han sobrealimentado las habilidades de los atacantes. Mientras tanto, un número creciente de empresas están incorporando la IA en su negocio diario, empujando a los profesionales de la ciberseguridad a proteger nuevas fronteras sin muchos precedentes sobre cómo hacerlo. Los consumidores, mientras tanto, están atrapados en medio de este entorno de IA que cambia rápidamente.

Esta dinámica exacta estaba en la mente de muchos de los 20,000 asistentes a la Conferencia Black Hat de este año en Las Vegas. Desde las cabinas llamativas en el piso de la sala de negocios hasta la investigación de vanguardia presentada en las charlas y las charlas tranquilas en el medio, la IA dominó la conversación.

En el discurso de apertura del evento, el investigador de ciberseguridad Mikko Hyppönen calificó a la IA como la "mayor revolución técnica" que vio en su vida, y señaló que los investigadores que usan LLM ya descubrieron un par de docenas de días cero, un término de la industria para la debilidad no detectada en software o código.

"Cuando los investigadores encuentran vulnerabilidades de seguridad con IA, eso es genial porque podemos solucionarlas", dijo Hyppönen. "Cuando los atacantes hacen lo mismo, eso es horrible. Eso también va a suceder".

Los estafadores en línea ya están empleando LLM para escribir emails de phishing más convincentes y dirigidos, y lo hacen a una escala mucho mayor de la que jamás podrían imaginar sin herramientas de IA.

Quedaron atrás los tiempos de los emails genéricos mal redactados que hasta la persona menos experta en tecnología podía detectar como estafas. Los estafadores que no son hablantes nativos de inglés ahora son expertos en perfeccionar sus mensajes con LLM.

E incluso aquellos estafadores que se hacen pasar por soldados solitarios estacionados en el extranjero, impulsando una oportunidad de negocio que parece demasiado buena para ser verdad (porque en realidad lo es), están rociando detalles personales extraídos por IA para hacer que esos mensajes sean mucho más creíbles.

También fueron más allá del email, llevando sus comunicaciones, ahora cuidadosamente elaboradas, a las redes sociales, mensajes de texto e incluso llamadas telefónicas.

Al mismo tiempo, hubo un aumento en los mensajes fraudulentos que contienen deepfakes de audio o video. El año pasado, un trabajador en Hong Kong fue engañado para que pagara 25 millones de dólares a los estafadores luego de firmar lo que pensó que era una videollamada con funcionarios de su compañía multinacional, incluido el director financiero. Pero resultó que los otros en la llamada eran recreaciones de deepfake de video en tiempo real de esas personas.

Los consumidores también fueron blanco de estafas con audio deepfake. Es ahí donde los ciberdelincuentes emplean la IA para falsificar las voces de personas, normalmente jóvenes, y luego usan la voz imitada para llamar a familiares, diciéndoles que fueron secuestrados o que están en la cárcel, para extorsionarlos.

Todo eso tiene a las compañías y a los consumidores comprensiblemente asustados. Un estudio reciente realizado para Mastercard encuestó a unos 13,000 consumidores en todo el mundo, incluidos unos 1,000 en los EE. UU., y encontró que el contenido falso generado por IA es la preocupación futura número 1 relacionada con estafas para los consumidores. Pero solo el 13% de los encuestados dijo que confía mucho en su capacidad para identificar amenazas o estafas generadas por IA si son blanco de ellas.

La gran mayoría de los encuestados citó específicamente preocupaciones sobre ataques más sofisticados de sistemas de IA que se piratean y se vuelven maliciosos, ciberataques automatizados a gran escala y emails de phishing más convincentes creados por IA.

Y los consumidores preocupados pueden significar grandes problemas para las compañías que los atienden. Si los consumidores no pueden confiar en que están tratando con una compañía legítima o que su información personal está segura, podrían optar por llevar su negocio a otra parte.  

Por ahora, al menos, parece que los defensores tienen el beneficio. Además de proteger los nuevos elementos de IA en los sistemas de sus clientes empresariales, las compañías de ciberseguridad están incorporando la IA en sus propios productos, con el objetivo de detener las amenazas en línea de forma más rápida y eficiente.

Mientras tanto, los estafadores y otros ciberdelincuentes aún no tienen suficientes incentivos para innovar de la misma manera. Si bien están empleando herramientas de inteligencia artificial para trabajar más rápido y crecer, los expertos dicen que se apegan en gran medida a versiones mejoradas de las mismas estafas de siempre.

Nicole Perlroth, una ex periodista de ciberseguridad que ahora se desempeña como socia de riesgo en Ballistic Ventures y dirige su propio fondo de misión cibernética, Silver Buckshot, dijo en su discurso de apertura de Black Hat que se siente alentada por las tecnologías nuevas y emergentes que está viendo en ciberseguridad.

Señaló las nuevas tecnologías de detección de deepfake impulsadas por IA que están llegando al mercado y señaló que la IA ayudó a "democratizar" los productos y servicios de ciberseguridad, haciéndolos más accesibles para las compañías más pequeñas que no podían pagarlos en el pasado.

Hyppönen señaló que las estafas de deepfake son actualmente muy raras, pero agregó que espera que todo tipo de estafas en línea, junto con el ransomware, solo empeoren a medida que las tecnologías de IA mejoren y sean más baratas.

La buena noticia es que los defensores tienen beneficio en lo que respecta a la IA.

"Los atacantes también están usando IA, pero solo están comenzando", dijo. "Hasta ahora solo vimos ataques bastante simples con IA. Cambiará, pero en este momento diría que estamos preparados".