La inteligencia artificial, aliada y enemiga en el ciberespacio
Si hay una industria que refleja mejor que ninguna otra la velocidad a la que se suceden los cambios tecnológicos en la actual era digital esa es, sin duda, la de la ciberseguridad. Ahora hace frente a nuevos fenómenos como Chat GPT, mientras trata de prevenir una actividad delictiva cada vez más sofisticada con un ejército de expertos aún muy débil.
Pocas herramientas digitales han experimentado un desarrollo similar al de la inteligencia artificial durante los últimos años. Su aplicación en tareas cotidianas es ya una realidad y su potencial parece que todavía no se ha explotado al máximo. Sin embargo, en términos de ciberseguridad, se ha convertido en un arma de doble filo: es la tecnología que están utilizando los criminales cibernéticos para que sus ataques sean más sofisticados y, a la vez, la herramienta que permite a las empresas de ciberseguridad diseñar mecanismos que defiendan a los usuarios.
«Cualquier avance tecnológico, del tipo que sea, va a arrastrar nuevos escenarios de riesgo y nuevos problemas a tratar», expone Román Ramírez, experto, divulgador y cofundador de RootedCON, el mayor evento de ciberseguridad del panorama nacional. «En el entorno digital, naturalmente, dado que estos avances son más rápidos y más globales, suelen tener un impacto muy alto».
Ante este panorama, se ha desatado una carrera entre la ciberdelincuencia y la ciberseguridad en la que, como explica Ramírez, siempre parte con algo de ventaja la primera: «Hemos de asumir que el cibercriminal siempre va por delante, dado que no tiene las restricciones que tenemos los profesionales. Nosotros debemos cumplir las leyes y tenemos obligaciones éticas concretas y códigos deontológicos. Además, contamos con limitaciones de presupuestos, entre otras cosas».
Pero esto no quiere decir que la victoria definitiva sea para el cibercrimen. De hecho, según Fernando Anaya, country manager en España de la empresa especializada en seguridad Proofpoint, «estas ventanas en las que llevan ventaja son cada vez más efímeras, ya que los equipos de detección de actividad maliciosa, aunque no infalibles, son cada vez más precisos». José María Sánchez, CEO de Prodware en España, también incide en esta idea de utilizar todas las ventajas que ofrece la inteligencia artificial para utilziarla como mecanismo de defensa, argumentando que «aparecerán vulnerabilidades detectables no sólo técnicamente, sino que necesitarán interpretación compleja, algo que sin duda esta tecnología permitirá realizar».
SOFISTICACIÓN. Pero, ¿cuáles son los principales riesgos a los que se expone cualquier ciudadano que hoy utiliza internet? ¿Qué herramientas resultan más efectivas para los ciberdelincuentes? Pese al desarrollo reciente de la inteligencia artificial, explica Anaya, esta solo «ayuda a acortar los ciclos de los ataques tradicionales o amplificar su alcance, pero no ha creado un nuevo tipo de ataque en sí».
Por tanto, los peligros siguen siendo similares, aunque la precaución debe ser mayor debido a esa sofisticación que ofrece a las organizaciones criminales este salto evolutivo de las tecnologías. «Entre las más potentes con las que cuentan hoy encontramos el malware para robar información, realizar ataques de denegación de servicio (DoS), propagar spam o llevar a cabo otros tipos de actividades ilegales», enumera Marc Rivero, senior Security Researcher de Kaspersky. «Los delincuentes también utilizan el ransomware para extorsionar a las empresas y a los individuos para que paguen mucho dinero», añade.
Otra de las nuevas puertas abiertas al cibercrimen es Chat GPT y aplicaciones similares basadas en modelos de lenguaje de inteligencia artificial. Es, según Anaya, otra herramienta que «permite a los delicuentes encontrar un grado más alto de sofisticación para ataques clásicos, mejorando la gramática de los mensajes de phishing y estableciendo conversaciones con las víctimas de los ataques de ingeniería social«. Sin embargo, añade, «la relevancia de estas herramientas a nivel de cibercrimen es limitada. Los delincuentes necesitan sistemas que funcionen una y otra vez para amplificar el ataque y las capacidades actuales de Chat GPT no se lo permiten».
PROTECCIÓN DE DATOS. Pese a ello, hay lugares en los que este tipo de disrupciones son vistas como una nueva vía para poner en peligro los datos de los ciudadanos. Tal como señala Josep Albors, director de Investigación y Concienciación de ESET España, «países como Italia han prohibido esta herramienta por el manejo que se hace de la información privada que se introduce en ella, en ocasiones muy delicada porque incluye datos confidenciales de empresas». Y añade: «Ya se han visto campañas de phishing que usan correos con textos e incluso imágenes generadas por inteligencia artificial para lograr su objetivo, y esto es solo la punta del iceberg».
Ante estos ataques, los expertos recomiendan seguir unas pautas de ciberseguridad muy básicas: «Los riesgos pueden ser mitigados evitando compartir información personal, teniendo cuidado con enlaces sospechosos o usando contraseñas seguras«, recomienda Rivero. «Algo tan simple como un doble factor de verificación para abrir cualquier cuenta es fundamental», agrega Anaya.
La protección de los usuarios está aún más en juego cuando los ciberdelincuentes consiguen saltarse sistemas de seguridad más complejos. Por ejemplo, la biometría, un método de identificación que reconoce rasgos tan característicos como las facciones o el timbre de voz. Los conocidos como deepfakes, apoyados en el uso de la inteligencia artificial, ya han conseguido en más de una ocasión suplantar identidades.
Sin embargo, en este tira y afloja entre crimen y seguridad, las empresas encargadas de crear sistemas de protección han logrado frenar, también a través de la inteligencia artificial, a los criminales que usan estas fórmulas. Se han desarrollado técnicas que hacen que se puedan detectar deepfakes midiendo el número de parpadeos o incluso detectando la frecuencia cardíaca.
El uso de esta tecnología en el cibercrimen reabre el debate sobre si se hacen los suficientes esfuerzos para conseguir que estas herramientas no amplíen los riesgos para los usuarios. Ramírez distingue dos fases en la puesta en marcha de una tecnología emergente: la primera, «en la que la seguridad no es la preocupación principal, sino llegar cuanto antes al mercado», y la segunda, «en la que se resuelven los problemas de protección según van apareciendo». Y concluye: «Hay muchos esfuerzos por lograr la seguridad desde el diseño, algo que ya se recoge en la nueva ley europea de ciberresiliencia».
LA AMENAZA SIGUE CRECIENDO Y ADOPTANDO NUEVAS FORMAS
En los actuales tiempos de digitalización todo se mueve a una gran velocidad y proliferan los ciberdelitos. El Instituto Nacional de Ciberseguridad (Incibe) gestionó cerca de 120.000 ataques en 2022, un 9% más que el año anterior. De ellos, 110.000 afectaron a ciudadanos y empresas; 546, a operadores estratégicos, y otros casi 8.000, a la comunidad educativa.
Concretamente, uno de cada tres ataques fue una filtración de datos, mientras que dos de cada cinco fueron vulnerabilidades de sistemas.
La mejor noticia es que para revertir esta situación se ha aprobado un Plan Nacional de Ciberseguridad, dotado con 1.000 millones, que recoge 150 actuaciones en diferentes áreas y que empieza a dar sus frutos.
José Manuel Ávalos, responsable de la consultora BeDisruptive, destaca que el 90% de las empresas españolas sufrió al menos un ciberataque en 2022.
«Nos enfrentamos a amenazas conocidas y a otras en desarrollo, como la consolidación del Ransomware-as-a-Service (RaaS), la reactivación del hacktivismo, las campañas de desinformación, el ciberespionaje ligado a tensiones geopolíticas y las vulnerabilidades en el desarrollo del metaverso«, expone Ávalos.
Y también habrá que seguir de cerca la integración de los sistemas de inteligencia artificial abiertos (tipo Chat GPT), tanto en el lado de la defensa como en el del ataque.
En BeDisruptive ven muy probable que aumenten los ciberataques relacionados con infraestructuras críticas, como el sufrido hace poco por el Hospital Clínic de Barcelona.
«Aunque los sucesos continúen, la seguridad de los activos mejora de manera constante y no debemos alarmarnos, sino seguir trabajando«, anima Ávalos.
En un mundo hiperconectado, la tecnología impacta en todas las actividades en una espiral creciente: usamos cada vez más la nube y el teletrabajo multiplica exponencialmente la conexión a la red desde puntos remotos y, con ello, refuerza la necesidad de ciberseguridad», expone Miguel Ángel Thomas, responsable de Ciberseguridad de la consultora NTT DATA.
Los datos del Ministerio del Interior muestran que, durante los últimos tres años, la ciberdelincuencia ha crecido un 89%. En este entorno, proliferan la suplantación de identidades y las campañas dirigidas de vishing y deepfakes, «que usarán técnicas efectivas de inteligencia artificial», señala Thomas.
Por todo ello, no resulta extraño que la Interpol haya advertido de la capacidad del cibercrimen para desencadenar una crisis mundial en poco tiempo.»Hace falta una mejor colaboración público-privada, pues trabajar aisladamente no frena amenazas globales», alerta Thomas.
Y no solo hay amenazas crecientes, pues el tiempo medio de propagación (lo que tarda un atacante en alcanzar a su víctima), alcanzó una media de 84 minutos el año pasado, «un 15 % menos del tiempo necesario en 2021», detalla Miguel de Castro, de la firma especializada CrowdStrike.
Según alerta, los servicios de intermediarios de acceso avanzaron en 2022, con más de 2.500 personas vendiendo accesos adquiridos ilícitamente, un 112 % más que el año anterior.
No hay tiempo que perder. Firmas como Visa ya protegen una gran red de procesamiento de datos «con una inversión de 9.000 millones en tecnología durante los últimos años», asegura Eduardo Prieto, director general de esta firma de medios de pago en España.
Cualquiera puede ser atacado y el alumbramiento de nuevas tecnologías va acompañado de novedosos mecanismos contra la seguridad de los usuarios.
Este escenario obliga a tomar medidas, sin olvidar que una cadena es tan fuerte como su eslabón más débil y aquí el factor humano es determinante: el mínimo agujero acaba con cualquier esfuerzo.
Según la firma de rating Ficht, las pérdidas en España por ciberataques rondaron los 11 millones de euros en 2022. Más allá de la sangría económica, muchas veces se socavan, también, el bienestar y la reputación.
PROLIFERAN LOS ATENTADOS CONTRA LA SALUD DE TODOS
Con prueba de vida y un rescate de más de cuatro millones de euros. Al grupo de piratas informáticos RansomHouse no le faltó detalle en su reciente ciberataque contra uno de los mejores hospitales de España, el Clínic de Barcelona. Fue el domingo 5 de marzo y todos los medios de comunicación se hicieron eco de la noticia. De repente, dejó de ser posible acceder a las historias clínicas de los pacientes y hubo que desprogramar unas 150 intervenciones y anular 3.000 citas y alrededor de 400 analíticas.
Semanas después, aún colean algunas dificultades. Dado que no se ha accedido al soborno, los cibercriminales han publicado en la dark web 3,6 gigas de los 4,5 teras que robaron. El objetivo ahora es bloquearlos y eliminarlos, aunque la misión no es sencilla y la investigación continúa abierta.
Por desgracia, el del Clínic no es un caso aislado. Según indican las últimas estadísticas, el sector sanitario ha experimentado un aumento del 650% en los ciberataques sufridos durante el último año. A ello se suman algunos condicionantes de vulnerabilidad: «El elevado número de tecnologías presentes, dispositivos hiperconectados pero no correctamente protegidos, una cibermadurez escasa, la falta de medios y de formación fortalecen el impacto a la hora de ser ciberatacados», explica José Antonio Pinilla, CEO y presidente de Asseco Spain.
En términos económicos, indica Pinilla, los daños que ocasionó el tipo de ciberataque ransomware (secuestro de datos) en el sector de la salud superaron los 20 millones de euros en 2022.
Porque no es un algo específico de España. A mediados de marzo, se produjo otro asalto informático al Hospital Saint-Pierre de Bruselas.
DATOS ENCRIPTADOS. RansomHouse es experto en ataques ransomware en cualquier parte del mundo. En palabras de Martín Piqueras, profesor de Tecnologías en OBS Business School, el ciberdelincuente «se conecta a los ordenadores de la empresa a través de un email, los encripta de forma que nadie puede acceder sin una clave que es muy difícil de conseguir y el sistema queda sin posibilidad de reacción».
Tal como describe Piqueras, «los atacantes suelen ser empresas especializadas que contratan hackers y, por tanto, no persiguen ningún otro fin que no sea el económico». Están ubicados en países donde no hay convenios de extradición y utilizan todos los mecanismos posibles para ser anónimos (pagos en criptomoneda, conversaciones en Telegram…) de manera muy coordinada.
Su método es cada vez más sofisticado y los asaltos, más profesionalizados. Aprovechan, sin escrúpulos, las versiones de software que están desactualizadas.
¿Significa esto que los hospitales no están lo suficientemente protegidos? En palabras de Pinilla, «la realidad es que las organizaciones del sector de la salud, en general, suelen contar con recursos muy limitados, lo que deriva en la falta de capacidad para responder correctamente a los ciberataques».
Otro dato preocupante: «Casi la mitad de las empresas sanitarias gastan menos del 10% de sus presupuestos para tecnologías de la información en ciberseguridad», explica Mohammad Waqas, principal solutions architect de Armis.
Es cierto que «la superficie digital en estos entornos está aumentando [la telemedicina, la monitorización médica remota, las plataformas de de citas…] y esto incrementa el riesgo de ciberataques», analiza José Carlos Alva, experto en Ciberseguridad de Kyndryl España.
MEJOR PREVENIR. Los últimos datos a nivel global desvelan que el 89% de las instituciones sanitarias sufrió una media de 43 ataques den 2022, casi uno cada semana (informe Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care).
En el caso de España, el Centro Criptológico Nacional apunta que durante los primeros seis meses de 2022 se produjeron 38 incidentes en la sanidad pública, con un índice «muy alto» de peligrosidad.
Tanto, que pueden llegar a comprometer la salud de los pacientes. Por eso, es necesario implantar una seguridad más rigurosa y formar a los equipos profesionales en la prevención de estos incidentes.
LA ESCASEZ DE TALENTO OBLIGA A ECHAR MANO DEL ‘RESKILLING’
Actualmente hay más de 61.000 vacantes en ciberseguridad en España, que se convertirán en 83.000 en 2024. Más que pleno empleo, el sector vive un balance de talento deficitario que preocupa a las empresas.
El Incibe constata que casi el 90% de las compañías españolas no tiene un profesional especializado. El auge de la digitalización ha hecho que la falta de profesionales en nuevas tecnologías sea generalizada. Y en el caso concreto de la ciberseguridad, esa escasez contrasta con el «creciente número de ataques cibernéticos, la interconexión de infraestructuras críticas, las pérdidas millonarias a causa de las brechas de seguridad o la creciente conciencia sobre la importancia de la ciberseguridad», indica Andrés Soriano, Chief Information Security Officer (CISO) de Universae.
La causa de este déficit de talento no se debe a que el mercado ofrezca sueldos bajos a estos expertos. Tampoco, a una reducida oferta formativa en ciberseguridad. El gran problema es que estos perfiles escasean tal y como los necesitan las empresas: especializados y con al menos cinco o seis años de experiencia laboral.
En la actual coyuntura, «la formación especializada, tanto desde el sector privado como desde el público, es fundamental para hacer frente a la demanda de profesionales tecnológicos», argumentan desde Cipher, el área de ciberseguridad de Prosegur. A esa descorrelación entre las necesidades empresariales y la oferta educativa se suma que «las amenazas en materia de ciberseguridad que están sufriendo las compañías crecen más rápidamente», añaden.
Y esa brecha entre demanda y oferta de especialistas se amplía si atendemos al género. Así, solo el 18% de quienes se forman en ciberseguridad son mujeres.
Isaac Gutiérrez, director del máster de Formación Permanente en Ciberseguridad de la Universidad CEU San Pablo, reconoce que la demanda va más rápido que la enseñanza. «Este es uno de los motivos por los que cada vez más empresas incluyen programas internos de formación en ciberseguridad, de forma que puedan ir incorporando los perfiles que reclaman y seguir su especialización dentro de la compañía», expone.
HETEROGENEIDAD. La ciberseguridad es un campo en el que caben diferentes perfiles, lo que hace que muchas veces las empresas tengan que recurrir a la formación interna. Según ENAE Business School, las especialidades en hacking son las más demandadas por los estudiantes, pero lo que las empresas necesitan son analistas en ciberseguridad, auditores de ciberseguridad y CISOs (responsables de seguridad), «los más difíciles de encontrar».
Para Soriano, los especialistas más demandados son los expertos en ‘red team’, aunque «existen grandísimas ofertas también en áreas como el blue team, la auditoría de entornos cloud, el threat intelligence o los analistas de ciberinteligencia». Y también, añade, «nos encontramos mucha demanda de perfiles relacionados con dirección y gobernanza«.