Potencia la IA cibercrímenes; falta talento para prevenirlos – Por Julio Gutiérrez

993

Los conceptos vertidos en esta sección no reflejan necesariamente la línea editorial de NODAL. Consideramos importante que se conozcan porque contribuyen a tener una visión integral de la región.

Julio Gutiérrez *

Los fraudes que los cibercriminales realizan por medio de la llamada ingeniería social han rendido frutos, pues es una de las principales alertas para las autoridades del sistema financiero mexicano; sin embargo, una nueva amenaza se hace presente, la inteligencia artificial (IA).

El uso de la IA ha llegado a tal grado que los correos falsos para engañar a una víctima (método conocido como phishing), el secuestro de información (mecanismo conocido como ransomware), o las estafas por medio de la intimidación (doxing) cada vez son más realistas, detallan especialistas en ciberseguridad.

Uno de los principales problemas a los que se enfrentan hoy en día las empresas o las instituciones financieras para prevenir este tipo de ataques es la falta de personal capacitado, pues la escasez de talento prevalece, mientras la ciberdelincuencia encuentra nuevas herramientas.

La ingeniería social no es algo nuevo, se hizo más visible en la pandemia: es el mecanismo por el cual los estafadores contactan a sus víctimas y les hacen creer que se comunican por parte de una institución financiera para informar que sus cuentas han sido vulneradas o tienen fallas.

Les piden otorgar datos personales o entrar a sus aplicaciones y transferir los recursos para mantenerlos a salvo; todo es mentira y se quedan con los recursos, según indica la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) en un micrositio de prevención de fraudes.

El enemigo avanza rápido

Aunque todos estos mecanismos prevalecen, las nuevas alertas se aproximan a gran velocidad, puesto que la IA propicia nuevos riesgos derivados de su uso por parte de grupos cibercriminales para potenciar sus ataques, usurpar identidades, engañar o desinformar a la población, o desarrollar códigos maliciosos, entre otros actos ilícitos, detalla el Banco de México (BdeM) en su último reporte de estabilidad financiera.

“La IA llegó para revolucionar todo y se convirtió en una herramienta indispensable en muchas disciplinas. Lamentablemente, también es utilizada de diferentes maneras por el cibercrimen para llevar adelante sus ataques y acciones maliciosas.

Desde febrero de 2023 se alertó sobre el uso malicioso que el cibercrimen podría darle a una herramienta con alcances tan amplios como la IA, y a menos de un año y medio de esa advertencia, ya se pueden observar las aplicaciones que los actores maliciosos le dan a la IA y cómo la utilizan para expandir y mejorar sus tácticas y estrategias de ataque, dijo Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica, una firma especializada en temas de ciberseguridad y desarrollo de nuevas tecnologías.

En este sentido, ESET encontró nuevos mecanismos para defraudar por medio de la IA: el primero es que los delincuentes la usan para perfeccionar la suplantación de identidad de firmas financieras, empresas o gobiernos.

“El gran auge de ChatGPT se vio acompañado de un daño colateral muy peligroso: el enorme aumento de correos de phishing. La IA generativa se convirtió en la mejor aliada para diagramar formas de engañar a las personas para que éstas revelen información sensible, ya sea para sacar un rédito económico o utilizarla para otras acciones maliciosas. Servicios como GoMail Pro, con una integración de ChatGPT, permite a los ciberatacantes mejorar el contenido de los mensajes que luego envían a sus víctimas”, detalla.

Precisó que la IA también sirve para optimizar el doxing, la práctica de publicar información personal de terceros con el fin de intimidar, extorsionar o afectar de alguna manera a las víctimas que buscan no ser defraudadas.

Hoy la IA, que se entrena con la gran cantidad de datos de Internet, incluidos los datos personales, puede deducir dónde podría estar ubicada una persona. La regla es simple, mientras más información haya sobre cada usuario en Internet, más vulnerable está a este tipo de prácticas.

ESET apuntó que esta nueva tecnología también permite hacer más realistas las estafas por medio de audio, pues “se necesita tan solo una toma de unos pocos segundo de la voz de una persona –de un video subido a Instagram o TikTok, por ejemplo–, para producir algo peligrosamente convincente”.

Con la IA, agregó, se pueden esquivar los controles de identidad de las redes sociales o de las páginas que solicitan verificar que las personas no son robots, y también se ha detectado que con esta herramienta se pueden vulnerar los sistemas operativos de un dispositivo e introducir un virus para después robar la información.

Aunado a los retos de prevención, otro problema al que se enfrenta el mundo es la falta de personas capacitadas y la creación de carreras que especialicen a los estudiantes en la prevención de los ciberdelitos.

Se estima que se necesitan 4 millones de profesionales para cubrir la creciente brecha de la fuerza laboral en ciberseguridad, y de este número 1.3 millones corresponden a la región de América Latina y el Caribe. Al mismo tiempo, 70 por ciento de organizaciones mundiales indicó que la escasez de competencias en ciberseguridad crea riesgos adicionales para sus organizaciones, reveló un reciente informe de la firma de Fortinet.

María Herlinda Montiel Sánchez, directora del Instituto de Ciencias Aplicadas y Tecnología de la Universidad Nacional Autónoma de México, detalló que tan solo en Estados Unidos el crecimiento en la oferta laboral en materia de ciberseguridad triplica el de la economía, y se estima que a siete de cada 10 empresas les hace falta personal para esta importante área.

Las brechas de seguridad tienen variedad de repercusiones, que van desde desafíos financieros hasta reputacionales. Los líderes corporativos son cada vez más responsables de los incidentes cibernéticos, y 51 por ciento de nuestros encuestados señala que los directores o ejecutivos han enfrentado multas, tiempo en prisión, pérdida de puesto o pérdida de empleo después de un ciberataque.

* Reportero de la sección de economía en La Jornada

La Jornada

Más notas sobre el tema