Las herramientas de inteligencia artificial generativa como ChatGPT están provocando un aumento de los ataques de correo electrónico sofisticados, según un informe publicado el miércoles por una empresa global de seguridad de correo electrónico basada en la nube.
Los líderes de seguridad se han preocupado por las posibilidades de ataques de correo electrónico generados por IA desde que se lanzó ChatGPT, y estamos empezando a ver validados esos temores, señaló el informe de Seguridad anormal.
La compañía informó que recientemente detuvo una serie de ataques que contienen lenguaje que se sospecha fuertemente que está escrito por AI.
“Los actores de amenazas de alto nivel siempre han usado inteligencia artificial. La IA generativa no es un gran problema para ellos porque ya tenían acceso a herramientas para permitir este tipo de ataques”, dijo Dan Shiebler, jefe de aprendizaje automático de Abnormal y autor del informe.
“Lo que hace la IA generativa es comercializar ataques sofisticados, por lo que veremos más de ellos”, dijo a TechNewsWorld.
“Hemos visto un aumento en los ataques de compromiso de correo electrónico empresarial (BEC), que este tipo de tecnologías facilitan”, continuó.
“El lanzamiento de ChatGPT fue un hito para el consumidor, pero el lanzamiento de GPT3 en 2020 permitió a los actores de amenazas usar IA en ataques por correo electrónico”, agregó.
Aplicación de miedo
Mika Aalto, cofundadora y directora general de Hoxhuntun proveedor de soluciones de concientización sobre seguridad empresarial en Helsinki, le dijo a TechNewsWorld que los atacantes están adoptando tecnología de IA para crear campañas BEC más convincentes y desarrollar kits de ataque BEC más sofisticados que luego se venden en la dark web.
“Según nuestra propia investigación, los ingenieros sociales humanos siguen siendo mejores en la elaboración de correos electrónicos de phishing que los grandes modelos de lenguaje, pero esa brecha se está cerrando”, dijo. «Los piratas informáticos están mejorando la ingeniería rápida y eludiendo las barreras contra el uso indebido de ChatGPT para las campañas BEC».
“Una aplicación bastante aterradora de esta tecnología es el reenvío iterativo de un ataque”, señaló Shiebler. “
“Un sistema puede enviar un ataque, determinar si llegó a los destinatarios y, si no lo logra, modificar el ataque repetidamente”, explicó. “Esencialmente, aprende cómo funciona la defensa y modifica el ataque para aprovechar eso”.
En su informe, Abnormal demostró cómo se utilizó la IA generativa en tres ataques a sus clientes: un ataque de phishing de credenciales, un ataque BEC tradicional y un ataque de fraude de proveedores.
Estos tres ejemplos son solo un pequeño porcentaje de los ataques de correo electrónico generados por AI, que Abnormal ahora ve casi a diario, señaló el informe.
Desafortunadamente, continuó, a medida que la tecnología continúa evolucionando, el ciberdelito evolucionará con ella, y tanto el volumen como la sofisticación de estos ataques seguirán aumentando.
No más inglés fracturado
Las herramientas de IA generativa pueden aumentar la efectividad de una campaña de phishing, especialmente aquellas que se originan fuera de los Estados Unidos.
“Muchos ataques de correo electrónico se originan fuera de los EE. UU. por hablantes no nativos, lo que resulta en correos electrónicos con problemas gramaticales obvios y un tono de voz inusual, lo que genera sospechas en el destinatario”, explicó Dror Liwer, cofundador de corouna empresa de ciberseguridad basada en la nube con sede en Tel Aviv, Israel.
“La IA generativa le permite al remitente crear un correo electrónico personalizado, conversacional y extremadamente creíble que no generaría sospechas, lo que provocaría que más usuarios caigan en la trampa”, dijo a TechNewsWorld.
“El contexto y la gramática adecuados hacen que el contenido sea más creíble y menos probable que sospeche del usuario”, agregó James McQuiggan, un defensor de la conciencia de seguridad en SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Fla.
«Además», dijo a TechNewsWorld, «la IA generativa puede extraer información de Internet sobre una organización para crear una campaña de phishing dirigido o más creíble».
Joey Stanford, director de seguridad y privacidad global de Plataforma.shuna plataforma global como proveedor de servicios, señaló que los ataques de correo electrónico elaborados con IA generativa pueden parecer más realistas y convincentes porque utilizan técnicas lingüísticas sofisticadas y grandes conjuntos de datos de correos electrónicos de phishing.
“Esto permite que los malos actores generen automáticamente correos electrónicos de phishing nuevos y convincentes que son más difíciles de detectar”, dijo a TechNewsWorld. «Las herramientas de IA generativa como ChatGPT de OpenAI pueden estar detrás del aumento del 135 % en los correos electrónicos fraudulentos que utilizan estas técnicas revelado en un informe reciente de Darktrace».
Luchando contra la IA con IA
Stanford sostuvo que las organizaciones podrían protegerse a nivel de red contra ataques de correo electrónico creados con IA generativa mediante el uso de herramientas de ciberseguridad con IA de autoaprendizaje. Esas herramientas, explicó, pueden detectar y responder a actividades de correo electrónico anómalas y maliciosas en tiempo real sin depender del conocimiento previo de amenazas pasadas.
“Estas herramientas también pueden ayudar a las organizaciones a educar a sus empleados sobre cómo detectar e informar correos electrónicos de phishing y hacer cumplir las políticas de seguridad y las mejores prácticas en toda la red”, dijo.
Reconoció que esas herramientas eran nuevas y estaban en rápido desarrollo, pero combatir la IA con IA parece ser la mejor solución al problema por varias razones. Esos incluyen:
- Los ataques de IA generativa son dinámicos y adaptables y pueden evadir los modelos de seguridad tradicionales que se basan en el conocimiento previo de amenazas pasadas.
- Las herramientas de IA de autoaprendizaje pueden detectar y responder a actividades de correo electrónico anómalas y maliciosas en tiempo real sin intervención humana ni reglas predefinidas.
- Las herramientas de IA también pueden analizar el contenido y el contexto de los correos electrónicos y los mensajes de texto y marcar los sospechosos o maliciosos para una mayor investigación o acción.
- Las herramientas de IA pueden ayudar a educar y capacitar a los equipos de seguridad y ciencia de datos para colaborar y crear un programa de seguridad de IA proactivo y holístico.
Más allá de la IA al análisis de comportamiento
Sin embargo, el problema de la IA generativa no se puede resolver a largo plazo con más IA, contrarrestó John Bambenek, principal cazador de amenazas de Netenrichuna empresa de operaciones de seguridad digital y TI en San José, California.
“Lo que se necesita es observar lo que es normal y anormal desde el punto de vista del análisis de comportamiento y darse cuenta de que el correo electrónico es inseguro y no asegurable”, dijo a TechNewsWorld. “Cuanto más importa algo, menos debe depender del correo electrónico”.
“La clave sigue siendo la misma, piénsalo dos veces antes de tomar acción en un correo electrónico, especialmente si se trata de algo sensible como una transacción financiera o una solicitud de autenticación”, agregó.
Ya sea que un correo electrónico sea generado por una IA, un bot o un ser humano, los pasos para examinarlo siguen siendo los mismos, aconsejó McQuiggan. Un destinatario debe hacer tres preguntas: ¿Este correo electrónico es inesperado? ¿Es de alguien que no conozco? ¿Me están pidiendo que haga algo inusual o tengo prisa?
“Si la respuesta es afirmativa a cualquiera de esas preguntas, tómese un tiempo adicional para verificar la información en el correo electrónico”, dijo.
“Tomarse unos minutos adicionales para verificar los enlaces, la fuente del correo electrónico y la solicitud puede reducir costos o recursos adicionales porque alguien hizo clic en un enlace e inició un riesgo de violación de datos para la organización”, aconsejó.