La inteligencia artificial (IA) ha sido una fuerza disruptiva en diversas áreas de la tecnología, y su influencia en la ciberseguridad va en aumento. Asimismo, está teniendo un papel altamente relevante en la creación de amenazas que ponen en constante riesgo a jugadores de prácticamente todas las industrias.
Es posible que haya escuchado hablar de FraudGTP, una plataforma de IA que habita la Dark Web y que puede crear malware e identificar sitios con vulnerabilidades, y hasta emular mensajes de instituciones financieras. Este y otros “GTPs” se basan en la inteligencia generativa para crear estafas sofisticadas, campañas de desinformación (deepfakes) e incluso emular escenas pornográficas ficticias.
Para comprender mejor este fenómeno, comencemos con un breve recorrido por la historia de la IA y su impacto en la seguridad digital.
La génesis de la IA se remonta a figuras como Allan Turing, quien sentó las bases del pensamiento automático. A medida que avanzaban las décadas, especialmente en los años 80, surgieron avances significativos en redes neuronales y estructuras de pensamiento, impulsando el desarrollo de la IA tal como la conocemos hoy.
Sin embargo, fue en 1996 cuando la IA se reveló al mundo de una manera inédita: la computadora Deep Blue de IBM vencía al campeón mundial de ajedrez de entonces, Garry Kasparov. Fue la primera vez que una máquina vencía a un experto de la talla del ruso en condiciones normales de torneo.
Este hito marcó un antes y un después, generando tanto asombro como inquietud en la sociedad.
Inteligencia que inquieta
A medida que la IA avanza, también lo hace la ciberdelincuencia. Uno de los principales desafíos que se enfrenta a nivel mundial es la escasez de profesionales en ciberseguridad. Este déficit de experiencia y conocimientos dificulta la capacidad de contrarrestar las amenazas generadas por la IA.
Uno de los conceptos clave en la IA aplicada a la ciberseguridad su capacidad de aprender y adaptarse constantemente. Sin embargo, esto plantea preocupaciones sobre la privacidad y la protección de datos, ya que la IA se alimenta de la información que compartimos en línea.
Los ciberdelincuentes están utilizando esta tecnología de diversas maneras para crear y ejecutar ciberamenazas más sofisticadas y difíciles de detectar. Algunas de las formas en que están empleando la IA incluyen:
- Malware autogenerado. Los ciberdelincuentes utilizan algoritmos de IA para crear malware que puede evadir fácilmente las firmas antivirus tradicionales y otras medidas de seguridad. Estos programas maliciosos son capaces de adaptarse y mutar con el tiempo, lo que dificulta su detección y eliminación.
- Ataques de ingeniería social. La IA se utiliza para analizar y recopilar grandes cantidades de datos de perfiles en redes sociales y otras fuentes públicas. Con esta información, los ciberdelincuentes pueden crear perfiles falsos más convincentes y realizar ataques de ingeniería social más efectivos, como el phishing y el spear phishing, donde los correos electrónicos o mensajes están diseñados para parecer legítimos y engañar a las víctimas.
- Suplantación de identidad. La IA se puede utilizar para generar voces sintéticas y avatares digitales semejantes a las personas reales. De este modo, los ciberdelincuentes crean identidades falsas convincentes para realizar ataques de suplantación de identidad.
- Análisis de vulnerabilidades y explotación de sistemas. Los algoritmos de IA pueden escanear grandes cantidades de datos para identificar vulnerabilidades en sistemas informáticos y redes. Una vez identificadas, se automatiza el proceso de explotación y se lanzan ataques dirigidos a esos sistemas, como ataques de inyección SQL o de fuerza bruta.
Lo anterior destaca la importancia de que las organizaciones refuercen sus medidas de seguridad y estén al tanto de las últimas tendencias y técnicas utilizadas por los ciberdelincuentes para proteger sus activos digitales.
Lento avance de la regulación
En Estados Unidos, el tema de la inteligencia artificial está siendo debatido tanto por organizaciones públicas como privadas, lo que ha llevado a la presentación de proyectos de ley ante el Congreso.
Uno de estos proyectos, liderado por el senador Gary Peters, aboga por la transparencia en el uso de la IA por parte de las agencias de inteligencia y propone la creación de herramientas para que los ciudadanos puedan impugnar las decisiones tomadas por esta tecnología.
Hay un proyecto más, respaldado por los senadores Michael Bennet, Mark Warner y Todd Young, que busca establecer una oficina de análisis global para mantener a Estados Unidos a la vanguardia en el desarrollo de IA. Estos esfuerzos representan los primeros pasos hacia un marco legislativo que regule éticamente el uso de la IA y establezca penalizaciones por su mal uso.
Sin embargo, en México, este tipo de debates aún no se han llevado a cabo, a pesar de los avances en la Ley de Ciberseguridad. Es probable que pasen varios años antes de que el tema de la inteligencia artificial se incluya en la agenda legislativa mexicana. Cuando eso suceda, será necesario realizar grandes esfuerzos para mantenerse al día con el rápido avance tecnológico que representa la IA.
Educación y concienciación
La capacitación y la concienciación son aspectos clave en la lucha contra las amenazas de la IA en la ciberseguridad. De ahí que resulte fundamental invertir en la formación de colaboradores y en la contratación de expertos en IA para fortalecer las defensas de las organizaciones.
Además, es importante promover el cuidado de la identidad digital y la privacidad de las personas. La IA no solo plantea desafíos tecnológicos, sino también éticos y sociales que deben abordarse de manera integral.
Es evidente que la evolución de la inteligencia artificial ha transformado el panorama de la ciberseguridad, presentando desafíos complejos, pero también oportunidades de innovación y crecimiento. En el actual entorno, en el que las amenazas son la regla y no la excepción, es crucial adoptar un enfoque proactivo y colaborativo para enfrentar estas amenazas y garantizar un entorno digital seguro y protegido en las organizaciones.
