El phishing, que ya es un flagelo para las empresas, se ha visto exacerbado por la aparición de importantes modelos lingüísticos y de inteligencia artificial generativa. Esta técnica de ciberataque, responsable de más del 90% de las filtraciones de datos, ahora se ve mejorada por una tecnología que la hace casi indetectable. Ante esta amenaza, los métodos tradicionales quedan obsoletos. La llegada de la IA generativa exige una respuesta más avanzada.
Para dar una idea de la magnitud del problema, una empresa media sufre 700 ataques de ingeniería social al año, 57 de los cuales tienen como objetivo al director ejecutivo. En 2022, el volumen global de ciberataques aumentó un 38%, alcanzando un pico histórico en el cuarto trimestre. Anteriormente, muchos ataques de phishing se detectaban fácilmente debido a una gramática deficiente o esquemas poco prácticos. Pero con la llegada de las herramientas de inteligencia artificial generativa, los ciberdelincuentes ahora cuentan con poderosos aliados para hacer que sus ataques de phishing sean más creíbles y escalables. En otras palabras, un problema ya colosal se está volviendo más grande y más inteligente.
Seguridad e IA generativa: hacia un nuevo paradigma
Si se utilizan de manera inteligente, tecnologías como ChatGPT pueden ahorrar tiempo, dinero y trabajo a las empresas con sus capacidades de creación de contenido y procesamiento de lenguaje. Sin embargo, su uso indebido para sofisticadas campañas de phishing es cada vez más común.
En la web oscura han surgido herramientas como FraudGPT y WormGPT, diseñadas explícitamente para el ciberdelito. Estas herramientas eluden las restricciones oficiales para crear correos electrónicos de phishing convincentes e incluso sitios web fraudulentos. Anteriormente, un simple vistazo era suficiente para detectar la mayoría de los correos electrónicos o mensajes de phishing. Pero hoy en día se eliminan los errores gramaticales y la redacción torpe que levantaban sospechas.
Algunos expertos hablan de una singularidad en la que la IA superará la inteligencia humana. Cuando se trata de detección de phishing, es posible que ya estemos ahí. Algunos argumentarán que las empresas pueden contrarrestar la IA con IA, adoptando software que afirme identificar contenido escrito por IA generativa. Incluso dejando de lado los resultados mixtos que ofrecen estas herramientas, este enfoque es fundamentalmente defectuoso. Luchar contra la IA con IA introduce un nuevo ciclo del mismo juego en el que el éxito depende de detectar todos, o al menos un número significativo, de ataques de phishing. Esto conducirá a una carrera armamentista, en la que los ataques de phishing y la tecnología detrás de ellos se adaptarán, volviéndose cada vez más sofisticados y difíciles de detectar como respuesta.
Repensar las reglas
El verdadero problema no es la detección de correos electrónicos de phishing o la “ingeniería social”. Ningún software de entrenamiento o detección será infalible. Las empresas deben repensar su enfoque y dejar de seguir las reglas de los estafadores.
En el meollo del problema: los identificadores. Los ciberdelincuentes buscan principalmente obtener estos valiosos datos. En 2022, muchas empresas han admitido ser víctimas de este tipo de ataques. Una vez en posesión de estas credenciales, los estafadores pueden acceder a los sistemas, extraer datos o dinero. ¿La solución? Haga que las credenciales sean invulnerables.
Hacia la autenticación sin contraseña
Recuerde, el 74% de las infracciones se deben a errores humanos, abuso de privilegios, uso de identificadores robados o ingeniería social. Al eliminar este eslabón débil, eliminamos la oportunidad de que los estafadores se beneficien de sus éxitos. Los métodos de autenticación sin contraseña, como las claves de acceso, brindan mayor seguridad.
Con las claves de acceso, incluso si un empleado es engañado por un sitio fraudulento, no podrá proporcionar una contraseña porque no la tiene. Además, los intentos de capturar datos biométricos están condenados al fracaso ya que esta información permanece segura en el dispositivo del usuario.
La inacción ya no es una opción
Los responsables de seguridad deben darse cuenta de la urgencia. La solución no está sólo en la tecnología, sino también en la comunicación y la educación. Ignorar esta amenaza es ser negligente. Las soluciones existen y la elección entre seguir usando contraseñas o adoptar tecnologías más seguras como claves de acceso tendrá consecuencias importantes.
En conclusión, ante la constante evolución de los ciberataques, las empresas deben adaptarse rápidamente. La era de las contraseñas ha terminado. Es hora de adoptar métodos de autenticación más sólidos para mantener a todos seguros.