Este mes de abril se han celebrado en Madrid dos eventos que han tenido muy presente la ciberseguridad. Al ya tradicional Mundo Hacker Day, uno de los grandes eventos sobre ciberseguridad de España, que este año ha vuelto a contar con Escudo Digital como media partner, se unía el 31º Congreso y Expo de ASLAN, la Asociación Nacional de la Industria Tecnológica, en el que la ciberseguridad y la inteligencia artificial fueron uno de los cuatro ejes temáticos.
En el Congreso ASLAN se habló, y mucho, de las nuevas amenazas en ciberseguridad y de las nuevas formas de defenderse. Los riesgos son, según explicó Matteo Restelli, Country General Manager para España de ReeVo Cloud & CyberSecurity, tanto tecnológicos como de procesos. A los primeros -los ya conocidos phishing, ransomware, robo de datos, suplantación de identidad, IoT y OT, ataques a la cadena de suministro, vulnerabilidades...-, se unen los riesgos en los procesos, derivados del desconocimiento de lo que hacen los empleados en el día a día, la falta de formación, la indefinición de las responsabilidades y protocolos y la poca atención que en muchos casos se sigue prestando a las actualizaciones de seguridad. Además, los atacantes están pasando de una estrategia centrada en el hack-in, para acceder a los sistemas, al log-in, de cara a conseguir las credenciales.
En este contexto, no sorprende que la ciberseguridad se haya convertido en 2023 en la mayor preocupación de las empresas, a medida que el coste medio de una brecha de seguridad ha subido hasta los 4,5 millones de dólares, según comentó Roberto Lázaro, director de Ventas de SUSE para Iberia e Italia.
Ante este panorama, en el que la ciberseguridad es cada vez más compleja, firmas como Interbel S proponen “desarrollar un marco teórico”. Este marco podría ser una teoría de los cinco ejes de la ciberseguridad, que incluya: IT, factor humano, presupuestos, inteligencia artificial y atención. Otras compañías, como es el caso de Linka, apuestan por una protección escalonada, lo que llaman “pirámide Keops de la ciberseguridad”. Así, en un nivel básico se ofrece la protección imprescindible para cualquier organización: antivirus EDR, backup de datos y de correo electrónico, autenticación multifactor, firewall perimetral, cifrado de conexiones VPN, cifrado de hardware y concienciación al usuario. En un segundo nivel aparece la protección de vectores de ataque y clasificación de datos, para pasar a la protección del dato y la identidad en el tercer nivel, el chequeo de la robustez del sistema mediante pentesting en el cuarto nivel y, en lo alto de la pirá mide, la monitorización a través de unos centros de operación NOC y SOC ofrecidos como servicio.
La ciberseguridad como servicio fue una de las tendencias más comentadas en las ponencias del Congreso ASLAN, donde se destacó su flexibilidad, economía de costes y facilidad de actualización. Adoptar masivamente un enfoque zero trust y automatizar la seguridad fueron otras soluciones planteadas, asumiendo que el enfoque de la seguridad “debe ser total”. Este enfoque global se consigue complementando las tecnologías y estrategias existentes con las nuevas que puede ofrecer el desarrollo de la inteligencia artificial. En este sentido, Germán Escuela, de Bitdefender, sostuvo que “la máquina tiene que ser un aliado en la estrategia de seguridad, no debe reemplazar al ser humano”.
Nada será igual con la inteligencia artificial
La integración de la inteligencia artificial en los sistemas de seguridad cibernética convertirá a esta en un pilar esencial de la ciberseguridad. Pero, como contraparte, la IA contribuirá a simplificar y democratizar el desarrollo y empleo de software malicioso.
Para Carlos Gray, Product Specialist de Darktrace que participó en la ponencia dedicada al papel de la IA en la ciberseguridad, los tipos de IA que se usan en ciberseguridad se dividen básicamente en tres: aprendizaje automático supervisado centrado en el atacante, aprendizaje automático no supervisado centrado en la empresa, y fuente abierta, IA generativa y LLM. Cada uno tiene sus puntos fuertes y débiles, por lo que se recomienda no invertir únicamente en una técnica.
En el ámbito de la ciberseguridad, la IA permite detectar elementos maliciosos, generar contenidos formativos y de concienciación, descubrir qué aplicaciones estamos usando y bloquear el uso de aplicaciones no permitidas, proteger la transferencia de datos y bloquear el acceso y la transmisión de datos no autorizados, manejar todos los aspectos de gobierno y cumplimiento de la nube pública por parte de las organizaciones... La IA generativa se puede utilizar en la protección de activos y sistemas, tanto en la fase de descubrimiento como en las de análisis, monitorización y control.
Aquí, como en tantos otros ámbitos, los datos tienen un papel fundamental. Se pueden usar los datos de malware disponibles para entrenar una IA, aunque también deben adaptarse las estrategias de protección y recuperación del dato para ser realmente ciberresilientes. Carlos Muñoz, responsable de Broadcom para la región EMEA Sur, avanzó una tendencia de las organizaciones a usar IA generativas locales para reducir riesgos.
Pero la inteligencia artificial también tiene un “lado oscuro” en lo que a seguridad se refiere. La lista de usos maliciosos de esta tecnología por parte de los ciberdelincuentes incluye robo de cuentas y de la consiguiente información almacenada en las mismas; jailbreaks, con los que esquivar la censura impuesta por la IA y así permitir usos inapropiados; venta en la dark web de soluciones de IA para generar código malicioso como FraudGPT o WormGPT, generación de fotos y documentación falsa, creación de kits y plantillas de phishing, clonación de voces...
De forma más específica, tampoco debemos olvidarnos de las amenazas que se ciernen sobre los large languaje models (LLM), la base en la que se asientan las populares soluciones de IA generativa como ChatGPT. De hecho, en el Mundo Hacker Day, que este año celebraba su octava edición, se organizó una sesión dedicada a los nuevos vectores de ataque y posibles amenazas de seguridad a las empresas que traen estos modelos de lenguaje.
Los chatbots que utilizan estos modelos y que están presentes en los servicios de atención al usuario de millones de sitios web tienen dos riesgos: no son deterministas, es decir, no responden de la misma forma a dos inputs iguales, y se puede acceder a través del modelo a los datos con los que se ha entrenado. De hecho, ya se han descubierto procedimientos para exfiltrar datos desde LLM. Según Sergio Maeso, Senior Solution Engineer en Cloudflare, estos modelos de lenguaje sufren diversas amenazas a tener en cuenta, entre las que destacan la inyección de prompts, la intoxicación de los datos de entrenamiento y los ataques de denegación de respuesta. La estrategia de respuesta a estas amenazas pasa, según Maeso, por proteger el modelo de abusos, securizar la información almacenada en el modelo y proteger al usuario de un uso inapropiado del mismo.
IA y seguridad en las instituciones públicas
Dentro del Mundo Hacker Day 2024, se dedicó un apartado específico a los riesgos y oportunidades de la inteligencia artificial en las Administraciones Públicas, con una mesa redonda en la que tomaron parte representantes del Ministerio de Hacienda, el Centro Criptológico Nacional, la Comunidad de Madrid y la consultora Ghenova.
La inteligencia artificial puede ayudar a las Administraciones Públicas, aparte de en la atención al ciudadano, en el desarrollo de código, siempre y cuando se securice ese código. Si nos centramos en el ámbito de la seguridad, las aplicaciones de la IA pasan por automatizar la respuesta a ataques de bajo nivel para centrarse en ataques avanzados, simular ataques o efectuar un aprendizaje del uso de la red para detectar anomalías. Desde el Centro Criptológico Nacional (CCN) añaden la detección avanzada de amenazas y la identificación biométrica, mientras que en el campo militar se puede utilizar en la obtención de inteligencia militar, guerra electrónica, ciberdefensa o gestión de infraestructuras de seguridad y defensa.
Miguel Ángel Blanco Arribas, jefe del Área de Planificación y Sistemas Informáticos del Ministerio de Hacienda, confía en que las Administraciones Públicas estén preparadas para aplicar la IA al ámbito de la ciberseguridad, con iniciativas como la Red Nacional de SOC que aglutinen los servicios de ciberseguridad de los tres niveles de la Administración (local, autonómico y estatal) y faciliten el aprovechamiento de la IA para este uso.
Más prudente es Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, quien considera que las Administraciones deben cambiar su paradigma full trust a uno zero trust para dificultar la labor de los atacantes. La postura del CCN es que la IA no debe verse como un vertical aislado sino como algo transversal, y apuestan por seguir la línea legislativa europea, sin sobrelegislar.
Entre los principales desafíos que supone la popularización de la inteligencia artificial para las instituciones públicas se hallan los derivados del uso ético de la IA, la dependencia excesiva de soluciones automatizadas con esta tecnología, los citados ataques a los modelos, el etiquetado correcto de los datos y el aumento de falsos positivos y negativos. Se da la circunstancia de que una herramienta Endpoint Detection and Response (EDR) que emplee IA puede multiplicar los falsos positivos porque la IA no entienda el contexto. Enrique Cubeiro, director de Ciberseguridad de Ghenova y exjefe de Operaciones del Mando Conjunto del Ciberespacio de España (MCCE), planteó el dilema de la autonomía de los vehículos y armas que usen IA. España y la OTAN consideran que siempre tiene que haber una persona responsable en última instancia de las acciones de esos vehículos o armas autónomos y tener la capacidad de trazar esas acciones.
Ante estos desafíos, Ángel Luis Sánchez, CTO de la Dirección General de Salud Digital (DGSD) de la Comunidad de Madrid, incidió en la necesidad de invertir en herramientas tecnológicas avanzadas para estar al nivel de los atacantes: “No se puede hablar de ciberseguridad sin hablar de IA”.
Los grandes eventos políticos y deportivos, objetivo de los ciberatacantes
En un contexto de actividad cibercriminal creciente, ayudada por las nuevas herramientas que proporciona la IA, 2024 será un año especialmente delicado para la seguridad pública, debido a la celebración de procesos electorales en más de 70 países, en los que participarán más de 4.000 millones de personas. A ello se unen los Juegos Olímpicos de París 2024, que tendrán lugar del 26 de julio al 11 de agosto y para los que se esperan unas cifras de 3.000 millones de espectadores, 206 países participantes, 125.000 periodistas (25.000 in situ y 100.000 online) y 3,5 millones de turistas. Eventos de impacto que tienen un gran atractivo para actores maliciosos, fundamentalmente hacktivistas y agentes patrocinados por Estados.
En el caso de las elecciones, los ataques a los sistemas de voto son anecdóticos, debido a la robustez de estos sistemas y la dificultad para que pasen desapercibidos. Los ciberatacantes se centran en el robo de información sensible y/o confidencial de candidatos y partidos políticos, los ataques DDoS a las páginas web de los contendientes en los comicios, las campañas de desinformación previas a los mismos y las campañas de deslegitimación del resultado electoral. Todo ello con el fin de influir en los resultados de las elecciones con arreglo a intereses geopolíticos. Muy populares, aunque no puedan considerarse estrictamente hacktivismo, son también las guerrillas organizadas en redes sociales por activistas de diferentes partidos para atacar y censurar al rival.
Sobre la desinformación, el abogado experto en Derecho digital Borja Adsuara señaló en la mesa redonda “La guerra invisible por el poder: protegiendo las elecciones del futuro”, que tuvo lugar en el Mundo Hacker Day, que es un fenómeno muy complicado de combatir por la dificultad a la hora de definir qué es falso y qué no. Por ello, puso el foco en las campañas y recomendó intentar atajar la viralización artificial de una noticia a través de redes de bots. En este sentido, Miguel Ángel de Castro, especialista en Seguridad de la Información de CrowdStrike, recordó el papel de la IA generativa a la hora de manipular vídeos o imágenes que perjudiquen a un candidato y condicionen así el voto de los electores.
Para proteger las elecciones de estos intentos de manipulación, se barajan distintas iniciativas. La concienciación a los ciudadanos sobre la desinformación se complementa con la protección tecnológica ante ataques DDoS y robos de información. Otras posibles acciones son la implementación de sistemas de trazabilidad del voto, la posibilidad de sustituir la verificación manual del voto por blockchain y el establecimiento de la obligatoriedad de auditar y verificar los resultados electorales.
En cuanto a la protección de un escaparate global para el mundo del deporte como son los Juegos Olímpicos, debería abarcar varios frentes. Por un lado, realizar un análisis de riesgos de todas las infraestructuras, tanto físicas como digitales: estadios, instalaciones deportivas, redes de transporte, centros de comunicaciones, plantas de agua y electricidad, centros de datos. Por otro, contar con planes de contingencia y alternativas para el caso de que hubiera algún ciberataque o un ataque físico a las infraestructuras.
Los riesgos para un evento de estas características son numerosos: hackeo de transmisiones, ataques a la cadena de suministro, borrado, fuga o alteración de los datos de las competiciones... Por ello, entre otras medidas, se debe acreditar la identidad de los participantes, garantizar el uso seguro de los datos o establecer sistemas de autenticación biométricos para acceder a áreas restringidas.