top of page

Ciberseguridad Hoy: Riesgos, Evolución y la Revolución de la Inteligencia Artificial

Walter Risi

Walter Risi, socio a Cargo de Consulting en KPMG de Argentina


Este artículo refleja la opinión personal del autor

Escrito originalmente para “Beyond”


Recientemente, inicié una charla con clientes planteando la siguiente pregunta: "¿Se ha vuelto el mundo más peligroso en los últimos diez años en términos de ciberseguridad?". Lamentablemente, la respuesta es afirmativa, pero natural si consideramos que vivimos en un mundo cada vez más conectado y digitalizado. La consecuencia inevitable de la conectividad y digitalización es el aumento de la superficie de riesgo, es decir, del área potencialmente vulnerable a ser atacada por ciberdelincuentes.


Si bien a simple vista la afirmación podría parecer exagerada, al analizar ejemplos y aristas como las siguientes, posiblemente nos daremos cuenta de que no estamos exagerando tanto:

· En varias partes del mundo, el cibercrimen ha superado al tráfico de drogas en términos del dinero obtenido de operaciones ilícitas. Detrás de esta triste estadística hay varios tipos de operaciones fraudulentas, particularmente grupos organizados para la realización de campañas de ransomware masivas y agresivas. Algunos grupos, incluso, venden sus ataques "como servicio", poniéndose a disposición de quien pague por sus habilidades.


· El riesgo cibernético no se limita a lo digital, sino que ha llegado al mundo físico. Los ataques cibernéticos, hoy día, pueden afectar infraestructuras críticas como redes eléctricas, sistemas de transporte y hospitales, poniendo en riesgo la seguridad física de las personas. Ejemplos bastante recientes son el caso de Colonial Pipeline o el ataque a la planta de tratamiento de agua en Oldsmar, Florida. Un poco más atrás en el tiempo, tenemos el famoso caso de Stuxnet, un software malicioso que afectaba plantas de enriquecimiento de Uranio en Irán, con el fin de ralentizar su programa nuclear.


· Los ataques son cada vez más sofisticados y, en ocasiones, se basan en atacar a víctimas intermedias para luego llegar a la víctima final. Un ejemplo de esto, de hace unos pocos años, es la empresa de software SolarWinds, que fue comprometida para introducir una "puerta trasera" en su producto ampliamente utilizado en bancos, con el fin de atacar a las víctimas finales a través de este. Los atacantes comprometieron la cadena de desarrollo de software, algo que se conoce como un "ataque a la cadena de suministro de software".


· La SEC ha establecido regulaciones que pueden tener consecuencias muy serias. A partir de 2023, las empresas deben divulgar incidentes cibernéticos materiales y sus estrategias de gestión de riesgos cibernéticos en sus informes anuales. El incumplimiento de estas regulaciones puede resultar en multas significativas y daños a la reputación, lo que enfatiza la seriedad del riesgo cibernético a los ojos de los reguladores globales.


En el contexto actual, la pregunta no es si una organización será atacada, sino cuándo. Si hace diez años la estrategia de protección consistía en tratar de no ser atacado, hoy las organizaciones asumen que ser vulneradas es una realidad casi inevitable. En vista de ello, la mayoría de las empresas no solo invierten en prevención, sino que destinan gran parte de sus esfuerzos en implementar medidas para detectar ataques lo antes posible y responder con prontitud. Cuanto antes se detecte el ataque, mejor preparada estará la organización para contenerlo. Sin embargo, una vez detectado el ataque, la clave es la capacidad de respuesta rápida, en la que las organizaciones se apoyan no solo en procedimientos definidos, sino también en ejercicios de simulación de ataques que preparan para ese momento de estrés. He facilitado varios de estos ejercicios en organizaciones internacionales y complejas y puedo afirmar que su relación costo-beneficio es excelente, especialmente si se realizan a nivel ejecutivo.


Más allá de la evolución natural del escenario de riesgo cibernético, hemos presenciado recientemente la revolución de la IA generativa. La relación entre ciberseguridad y IA no es nueva, y muchos productos de los que se valen los CISOs incluyen alguna forma de IA. Desde sistemas de reglas en algunos antivirus hasta aprendizaje automático en la mayoría de los sistemas de monitoreo de eventos, la IA ha acompañado a la ciberseguridad desde hace tiempo. Pero anteriormente, la IA estaba siempre en manos de expertos que sabían construir soluciones y contaban con los elementos necesarios para hacerlo. En los últimos años, la IA generativa ha democratizado el acceso a la IA a miles de personas, desde quienes planean usarla para el bien, hasta, por supuesto, cibercriminales que planean emplearla para otros fines. Además, las soluciones de IA son potenciales víctimas de ciberataques.


Pensemos en las campañas de phishing. Hasta hace poco, en charlas de concienciación sobre ciberseguridad, se enseñaba cómo reconocer un correo fraudulento o phishing. En general, estos correos venían mal escritos o redactados, con un inglés o español pobres, y con una lectura atenta se podían detectar fallos. Con herramientas de IA generativa, se terminó esto, y cualquier

cibercriminal puede escribir correos fraudulentos casi perfectos en cuestión de segundos, en cualquier idioma y a bajo costo. Ahora debemos prestar doble atención ante un correo sospechoso, puesto que la simple lectura en busca de errores ya no es suficiente.


Por supuesto, hay mucho por ganar también. Existen diversas herramientas en el mercado que emplean IA, y en particular aprendizaje automático, para combatir ciberataques. Algunas, por ejemplo, son capaces de "aprender" sobre el comportamiento de nuestras redes y sistemas, ayudándonos a detectar comportamientos anómalos. Herramientas como Copilot for Security de Microsoft actúan como "copilotos virtuales" de un analista de ciberseguridad, asistiéndolo a realizar sus tareas más rápidamente y de manera más eficiente, desde investigar un potencial ataque hasta analizar código para detectar vulnerabilidades. Herramientas como el citado copiloto facilitan el aprendizaje y la eficiencia del profesional.


No obstante, no podemos obviar los potenciales ataques a los sistemas de IA. Como cualquier sistema de software, un sistema de IA puede ser vulnerado, y los sistemas de IA pueden sufrir ataques particulares. Un caso resonante fue el de Tay de Microsoft. Tay era un “bot” conversacional que interactuaba a través de Twitter, hoy X. Usuarios malintencionados lo manipularon para que "aprendiera" contenidos racistas. En menos de 24 horas, Tay pasó de ser una interfaz de conversación inocente a un vehículo de mensajes discriminatorios y tuvo que ser retirado.


Los sistemas de IA tienen sus propias características y, por lo tanto, sus propias vulnerabilidades. El caso de Tay fue un "envenenamiento de datos", es decir, una alteración fraudulenta de los datos con los que se entrena la IA, con el fin de inducir comportamientos incorrectos según los deseos del atacante. Existen varios tipos de ataques específicos de la IA que han sido catalogados por MITRE en su marco metodológico ATLAS, que se utiliza para analizar y proteger las soluciones de IA que desarrollamos. Otras organizaciones, como NIST, han desarrollado marcos de trabajo para desarrollar e implementar soluciones de IA seguras, éticas y fiables.


Volviendo a la pregunta inicial de este artículo, y a esta altura, creo que para el lector no quedará duda sobre el aumento de riesgo en términos de ciberseguridad, lo cual es resultado natural de nuestra evolución tecnológica. Todo avance tecnológico, no solo en tecnología digital sino en cualquier otro campo de la ciencia y la ingeniería, acarrea riesgos inherentes. Lejos de convertirnos en alarmistas, debemos asumir nuestra responsabilidad e invertir en protección tanto como en innovación. Aquellas organizaciones que han comprendido esto colocan a sus CISOs al mismo nivel de diálogo que sus CTOs o CIOs, e integran los temas de ciberseguridad en la misma mesa directiva donde se discuten la expansión de negocios y la innovación. Los que ven la ciberseguridad como un facilitador de la innovación están, sin duda, mejor preparados para utilizar la tecnología a su favor y ganar en sus sectores.




74 views0 comments

Recent Posts

See All

Comentários


bottom of page