O Mês da Consciencialização para a Cibersegurança pode não ter o mesmo apelo que outros marcos de outubro — como admirar a folhagem colorida ou deliciar-se com doces de Halloween —, mas pode levar os líderes empresariais e os consumidores a envolverem-se num ritual importante: reavaliar a sua abordagem à cibersegurança.

E há muito em que refletir sobre este último ano. As empresas, em particular, devem questionar-se este mês (e em todos os meses): Como é que o panorama das ameaças online mudou? E as práticas de segurança da sua empresa estão a ser suficientes para acompanhar estas mudanças?

A inteligência artificial foi, sem dúvida, a maior inovação deste ano. As ferramentas de IA, incluindo os grandes modelos de linguagem (LLMs) como o ChatGPT, ampliaram significativamente as capacidades dos atacantes. Entretanto, um número crescente de empresas está a incorporar a IA nas suas atividades diárias, pressionando os profissionais de cibersegurança a proteger novas fronteiras sem muitos precedentes sobre como fazê-lo. Entretanto, os consumidores estão no meio deste ambiente de IA em rápida transformação.

Esta dinâmica específica estava na mente de muitos dos 20.000 participantes da Conferência Black Hat deste ano, em Las Vegas. Desde os stands vistosos no pavilhão de negócios até à investigação de ponta apresentada nas palestras, passando pelos bate-papos tranquilos entre elas, a IA dominou a conversa.

Na palestra de abertura do evento, o investigador de longa data em cibersegurança Mikko Hyppönen chamou à IA "a maior revolução tecnológica" que já viu na sua vida, referindo que os investigadores que utilizam LLMs já descobriram algumas dezenas de vulnerabilidades de dia zero — um termo da indústria para uma fraqueza não detetada no software ou no código.

“Quando os investigadores encontram vulnerabilidades de segurança na IA, isso é ótimo porque podemos corrigi-las”, disse Hyppönen. “Quando os agressores fazem o mesmo, isso é terrível.” Isso também vai acontecer.”

Os burlões online já estão a utilizar modelos de aprendizagem de linguagem (LLMs) para escrever e-mails de phishing mais convincentes e direcionados, e fazem-no a uma escala muito maior do que alguma vez conseguiriam sem ferramentas de inteligência artificial.

Acabaram-se os tempos dos e-mails genéricos e mal escritos que até a pessoa menos entendida em tecnologia conseguia identificar como burlas. Os burlões que não são falantes nativos de inglês são agora profissionais em melhorar as suas mensagens com LLMs (Living Liability Mechanics - Membras de Aprendizagem de Libre).

E mesmo aqueles burlões que se fazem passar por soldados solitários estacionados no estrangeiro, promovendo uma oportunidade de negócio que parece demasiado boa para ser verdade (porque realmente é), estão a incluir detalhes pessoais extraídos pela IA para tornar estas mensagens muito mais convincentes.

Também foram além do e-mail, enviando as suas comunicações, agora bem elaboradas, para as redes sociais, mensagens de texto e até mesmo chamadas telefónicas.

Ao mesmo tempo, houve um aumento de mensagens fraudulentas contendo deepfakes de áudio ou vídeo. No ano passado, um trabalhador em Hong Kong foi enganado e pagou 25 milhões de dólares a burlões depois de se ter inscrito no que pensava ser uma videochamada com funcionários da sua empresa multinacional, incluindo o diretor financeiro. Mas descobriu-se que as outras pessoas na chamada eram recriações deepfake em vídeo ao vivo dessas pessoas.

Os consumidores também têm sido alvo de burlas com deepfakes de áudio. É aí que os cibercriminosos usam a IA para criar deepfakes das vozes de pessoas, geralmente mais jovens, e depois usam a voz imitada para ligar aos familiares, dizendo que foram raptados ou estão na prisão, para lhes extorquir dinheiro.

Tudo isto tem deixado empresas e consumidores compreensivelmente assustados. Um estudo recente realizado para a Mastercard entrevistou cerca de 13.000 consumidores em todo o mundo, incluindo cerca de 1.000 nos EUA, e descobriu que o conteúdo falso gerado pela IA é a principal preocupação futura dos consumidores em relação às fraudes. Mas apenas 13% dos inquiridos disseram ter muita confiança na sua capacidade de identificar ameaças ou esquemas gerados pela IA caso sejam alvo dos mesmos.

A grande maioria dos inquiridos citou especificamente preocupações com ataques mais sofisticados de sistemas de IA que são invadidos e transformados em software malicioso, ciberataques automatizados em grande escala e e-mails de phishing mais convincentes criados pela IA.

E os consumidores preocupados podem representar grandes problemas para as empresas que os servem. Se os consumidores não puderem confiar que estão a lidar com uma empresa legítima ou que as suas informações pessoais estão seguras, podem optar por fazer negócios com outra empresa.  

Pelo menos para já, parece que os defesas estão em vantagem. Além de proteger os novos elementos de IA nos sistemas dos seus clientes empresariais, as empresas de cibersegurança estão a incorporar a IA nos seus próprios produtos, com o objetivo de travar as ameaças online de forma mais rápida e eficiente.

No entanto, os burlões e outros cibercriminosos ainda não têm incentivo suficiente para inovar da mesma forma. Embora estejam a utilizar ferramentas de IA para trabalhar mais rapidamente e em maior escala, os especialistas dizem que estão, em grande parte, a cingir-se a versões melhoradas dos mesmos esquemas antigos.

Nicole Perlroth, ex-jornalista de cibersegurança que agora desempenha funções de sócia na Ballistic Ventures e lidera o seu próprio fundo de investimento em cibersegurança, o Silver Buckshot, afirmou no seu discurso de abertura na Black Hat que está otimista em relação às novas tecnologias emergentes que tem observado na área da cibersegurança.

Ela mencionou as novas tecnologias de deteção de deepfakes baseadas em IA que estão a chegar ao mercado e observou que a IA ajudou a "democratizar" os produtos e serviços de cibersegurança, tornando-os mais acessíveis a empresas mais pequenas que não os podiam adquirir no passado.

Hyppönen observou que os esquemas com deepfakes são atualmente muito raros, mas acrescentou que espera que todos os tipos de esquemas online, juntamente com o ransomware, piorem à medida que as tecnologias de IA se tornam melhores e mais baratas.

A boa notícia é que os defensores têm uma vantagem inicial no que diz respeito à IA.

“Os atacantes também estão a usar IA, mas estão apenas a começar”, disse. “Até agora, só vimos ataques relativamente simples com IA.” Isso vai mudar, mas agora diria que estamos preparados.”