Utilizando un nuevo software basado en la inteligencia artificial, los piratas informáticos han imitado las voces de varios altos funcionarios de empresas de todo el mundo y, por lo tanto, han dado instrucciones para realizar transacciones por ellos, como transferencias de dinero. El software puede aprender a imitar perfectamente una voz después de sólo 20 minutos de escucharla y puede entonces hablar con esa voz y decir cosas que el hacker teclea en el software.
Algunos de estos intentos fueron frustrados, pero otros hackers tuvieron éxito en poner sus manos en el dinero.
“Esto es un aumento” de las capacidades de los hackers, dijo la Dirección de Cibernética de Israel en un memorándum de advertencia enviado a las empresas, organizaciones y personas en julio, advirtiendo de la amenaza, pero especificando que aún no se habían producido tales eventos en Israel.
Los principales funcionarios en una conferencia de seguridad cibernética en Tel Aviv el mes pasado advirtieron de la creciente amenaza de los hackers que utilizan herramientas de inteligencia artificial para crear nuevas superficies de ataque y causar nuevas amenazas.
“Encontramos cada vez más desafíos en las tecnologías emergentes, principalmente en la inteligencia artificial”, dijo Yigal Unna, el jefe de la Dirección Nacional de Cibernética de Israel, en la conferencia Cybertech 2020 el mes pasado. Este es el nuevo “patio de recreo” de los hackers, dijo, y es “el más aterrador”.
La inteligencia artificial es un campo que da a las computadoras la capacidad de pensar y aprender, y aunque el concepto existe desde los años 50, sólo ahora está disfrutando de un resurgimiento que es posible gracias a la mayor potencia de cálculo de los chips. Se espera que el mercado de la inteligencia artificial crezca casi un 37% anual y alcance los 191.000 millones de dólares en 2025, según la empresa de investigación MarketsandMarkets.
La inteligencia artificial y el aprendizaje por máquina se utilizan hoy en día para una amplia gama de aplicaciones, desde el reconocimiento facial hasta la detección de enfermedades en imágenes médicas, pasando por las competiciones mundiales en juegos como el ajedrez y el Go.
Y a medida que nuestro mundo se va digitalizando cada vez más -con todo, desde los electrodomésticos hasta los equipos de hospital que se conectan a Internet- la oportunidad de que los hackers perturben nuestras vidas se hace cada vez mayor.
Mientras que antes los hackers humanos pasaban mucho tiempo analizando las líneas de código para encontrar un punto débil en el que pudieran penetrar, hoy en día las herramientas de inteligencia artificial pueden encontrar vulnerabilidades a una velocidad mucho mayor, advirtió Yaniv Balmas, jefe de investigación cibernética de la mayor empresa de seguridad cibernética de Israel, Check Point Software Technologies.
“La inteligencia artificial es básicamente aprendizaje automático”, dijo Balmas en una entrevista con The Times of Israel. “Es una forma en que una máquina puede procesar grandes cantidades de datos” que los humanos pueden usar para tomar “decisiones inteligentes”.
La tecnología se utiliza generalmente para reemplazar “el trabajo manual muy, muy, muy intenso”, dijo. Así que, cuando es usada ofensivamente por los hackers, “abre nuevas puertas”, como pueden hacer ahora en una hora o un día lo que solía tomar “días, semanas y meses, años para hacerlo”.
Por ejemplo, cuando apuntan a una aplicación, el objetivo de los hackers sería encontrar una vulnerabilidad a través de la cual pudieran tomar el control total de un teléfono en el que está instalado. “Antes de que existiera la inteligencia artificial”, dijo Balmas, los hackers examinaban el código de la aplicación línea por línea.
Con la inteligencia artificial se ha desarrollado una nueva tecnología llamada fuzzing, que es el “arte de encontrar vulnerabilidades” de forma automatizada. “Se replica el trabajo humano, pero se automatiza,” dijo Balmas, lo que proporciona resultados mucho más rápidamente.
En un estudio, los investigadores de Check Point utilizaron el fuzzing para encontrar vulnerabilidades en una aplicación popular, el Adobe Reader. Los investigadores humanos probablemente podrían haber encontrado una o dos vulnerabilidades en los 50 días establecidos para la tarea, mientras que la tecnología de inteligencia artificial fuzzing logró encontrar más de 50 vulnerabilidades en ese período de tiempo, dijo Balmas.
“Es una cantidad enorme”, dijo, y “muestra muy bien el poder de la inteligencia artificial”.
Las vulnerabilidades fueron reportadas a los fabricantes de la aplicación y desde entonces han sido arregladas, dijo Balmas.
También se están utilizando ya herramientas de inteligencia artificial para crear campañas de phishing extremadamente sofisticadas, dijo Hudi Zack, director ejecutivo de la Unidad de Tecnología de la Dirección Nacional de Cibernética de Israel, a cargo de la seguridad cibernética civil de la nación.
Las campañas de phishing tradicionales utilizan correos electrónicos o mensajes para hacer que la gente haga clic en un enlace y luego los infecten con un virus o hagan que realicen ciertas acciones.
En la actualidad, los usuarios suelen poder identificar fácilmente estas campañas y evitar responder a ellas, porque los correos electrónicos de phishing provienen de personas o direcciones desconocidas y tienen un contenido genérico o irrelevante para el destinatario.
Ahora, sin embargo, los sofisticados sistemas de inteligencia artificial crean “campañas de spear-phishing muy sofisticadas” contra personas “de alto valor”, como los directores generales de las empresas o los funcionarios de alto rango, y envían correos electrónicos dirigidos directamente a ellos, a veces incluso de forma ostensible de alguien que conocen personalmente, y a menudo con un contenido muy relevante, como un currículum para un puesto que están buscando personal.
Para ello, el atacante debe dedicar mucho tiempo y esfuerzo a conocer la red social del objetivo, comprender el entorno empresarial relevante y buscar posibles “ganchos” que hagan creer a la víctima que se trata de un correo electrónico relevante”, acercándose a ellos por motivos empresariales reales que aumentarán las posibilidades de éxito del ataque, dijo Zack.
Un sofisticado sistema de inteligencia artificial permitiría a un atacante “realizar la mayoría de estas acciones para cualquier objetivo en cuestión de segundos”, por lo que las campañas de phishing podrían dirigirse a “miles o incluso millones de objetivos”, dijo Zack.
Estas herramientas están principalmente en manos de hackers estatales bien financiados, dijo Zack, negándose a mencionar cuáles, pero previó que se extenderían con el tiempo a grupos menos sofisticados.
Aún así, quizás la mayor amenaza basada en la inteligencia artificial que se avecina es la capacidad de interferir en la integridad de los productos incorporados a las tecnologías de IA que soportan procesos importantes en campos como las finanzas, la energía o el transporte.
Los sistemas de inteligencia artificial, como los automóviles, trenes o aviones automatizados, por ejemplo, “pueden tomar decisiones mejores y más rápidas y mejorar la calidad de vida de todos nosotros”, dijo Zack. Por otro lado, el hecho de que las máquinas ahora actúen de forma independiente, “con sólo una capacidad limitada para que los humanos puedan ver y, si es necesario, anular sus decisiones, las hace susceptibles de ser manipuladas y engañadas”.
La mayoría de los sistemas de inteligencia artificial utilizan mecanismos de aprendizaje de máquinas que dependen de la información que estas máquinas reciben.
“Un atacante sofisticado” podría secuestrar estos mecanismos de aprendizaje de la máquina para “inclinar las decisiones de la computadora para lograr el impacto malicioso deseado”, dijo Zack.
Los hackers también podrían “envenenar” los datos introducidos en la máquina durante su fase de entrenamiento para alterar su comportamiento o crear un sesgo en la salida.
Así, un sistema basado en la inteligencia artificial que aprueba préstamos podría ser enseñado fraudulentamente a aprobarlos incluso si la situación crediticia del cliente no es buena; un sistema de seguridad basado en la inteligencia artificial que utiliza el reconocimiento facial podría ser impedido de identificar a un terrorista conocido; un sistema de distribución de electricidad podría ser instruido para crear una distribución de corriente desequilibrada, causando cortes de energía a gran escala.
Todos estos cambios potenciales “presumiblemente sirven a los objetivos del adversario”, dijo Zack.
Este tipo de ataque sofisticado es “más académico y teórico por el momento”, dijo Balmas de Check Point. “Pero creo que esto es realmente algo a lo que debemos prestar atención. Porque esta tecnología está avanzando muy, muy rápido. Si nos quedamos dormidos en el reloj, podríamos encontrarnos en una situación difícil”.
El Zack de la Dirección de Cibernética estuvo de acuerdo en que este tipo de ataque aún no se ha visto en el terreno. “Aún no hemos llegado a eso”, dijo. “Pero ciertamente hay una preocupación al respecto, y podría suceder en los próximos años, cuando los sistemas de inteligencia artificial se extiendan en nuestro uso diario.”
Para prepararse para este escenario, la Dirección Cibernética está estableciendo directrices a las empresas y entidades que están desarrollando soluciones basadas en la inteligencia artificial para asegurarse de que incorporan soluciones de ciberseguridad en los productos.
“Las directrices establecerán criterios” para garantizar la resistencia de los productos de inteligencia artificial que las empresas están utilizando o desarrollando, “especialmente si el sistema afecta al público en general”, dijo Zack
Las empresas aún no son conscientes del riesgo, y junto con la ignorancia hay consideraciones económicas. “Todo el mundo quiere ser el primero en comercializar”, y la seguridad no siempre es una prioridad lo suficientemente alta cuando se crea un producto, dijo.
En realidad, la amenaza de la IA es todavía incipiente, dijo. pero será muy difícil actualizar los sistemas una vez que ya han sido desarrollados y desplegados.
Los sistemas de defensa a nivel mundial ya están incorporando capacidades de inteligencia artificial para combatir a los atacantes basados en la IA, así como compañías como Check Point.
“Utilizamos herramientas de IA para encontrar vulnerabilidades y utilizamos las herramientas de inteligencia artificial para comprender cómo operan realmente el malware y otros ataques”, dijo Balmas.
“Para permitir que un sistema de defensa basado en la inteligencia artificial lleve a cabo esta batalla contra un atacante basado en la IA, se requerirá un conjunto totalmente nuevo de capacidades del sistema de defensa,” dijo Zack del Cyber Directorate. Y los ataques cada vez más sofisticados causarán que las ciberbatallas resultantes pasen de “juegos mentales entre humanos a batallas entre máquinas”.
Fuente: Israel Noticias
