Ciberseguridad

Las Amenazas de la IA son una Distracción. Tu Problema Real está Más Cerca de Casa

mm
Publicado el
Actualizado el

Seamos honestos: los ciberataques impulsados por la IA son una perspectiva aterradora. Pero no son la mayor amenaza para tu negocio.

La mayor amenaza es la distracción que crean.

Durante más de 15 años, he visto la misma historia desarrollarse. La dirección se asusta con la última “super-amenaza de la IA”, mientras que el equipo de seguridad todavía lucha por responder a preguntas básicas como “¿Dónde está nuestra información de cliente más sensible?” o “¿Quién es el responsable de parchear ese sistema crítico?” Perseguimos herramientas nuevas y brillantes mientras los ingenieros se ven obligados a realizar ejercicios de cumplimiento de última hora, y las vulnerabilidades críticas se pasan por alto.

Este es el clásico problema del “cerrojo elegante en una puerta de pantalla”. Las organizaciones se apresuran a desplegar defensas impulsadas por la IA, pero los atacantes utilizan la IA con menos reglas y más agilidad para caminar a través de las brechas fundamentales en el proceso, la propiedad y la cultura. Para las empresas de tamaño medio, en particular, ignorar los aspectos básicos es una invitación a convertirse en la próxima historia de advertencia.

Por Qué las Defensas Estáticas Fallan en un Mundo Dinámico

Cuando comencé mi carrera, la seguridad era una lista de verificación: antivirus, parches y firewalls sólidos. Ese mundo ha desaparecido. Hoy en día, el malware polimórfico se reescribe a sí mismo para evadir las firmas, y los botnets lanzan ataques más rápido de lo que cualquier humano puede responder.

El tráfico cifrado se ha convertido en el escondite favorito del adversario. El informe ThreatLabz de Zscaler de 2024 encontró que casi el 90% del malware se entrega ahora a través de canales cifrados. Eso significa que nueve de cada diez amenazas son invisibles para las herramientas heredadas que no pueden inspeccionar ese tráfico.

El verdadero cuello de botella, sin embargo, no es solo la tecnología; es la fricción organizacional. He visto a grandes equipos de seguridad pasar semanas solo tratando de obtener el visto bueno para cerrar una brecha conocida. En el tiempo que se tarda en programar las reuniones, un atacante automatizado puede entrar y salir. Ser estático ya no es una opción. Los programas de seguridad deben ser conscientes del contexto y centrarse en las partes en movimiento rápido del negocio.

La Industrialización del Ciberdelito

No debería sorprender a nadie. Los atacantes son empresarios que dirigen un negocio. Simplemente están adoptando nueva tecnología para mejorar su retorno de la inversión, al igual que nosotros. La IA está ayudando a industrializar sus operaciones.

  • Phishing como Servicio, Superpuesto: El phishing sigue siendo la forma número uno de entrada. El FBI y IBM lo informan como el vector de acceso inicial principal durante años. Ahora, con herramientas de IA generativas como “FraudGPT”, los delincuentes pueden crear campañas de phishing perfectamente personalizadas y sin errores gramaticales a una escala que nunca hemos visto.
  • La Voz es una Mentira: El phishing de voz (“vishing”) está explotando. CrowdStrike vio un aumento del 442% a medida que los atacantes utilizan voces clonadas por IA para impersonar a ejecutivos y engañar a los empleados para que transfieran fondos. Una empresa de energía del Reino Unido perdió más de $243,000 de esta manera en una sola llamada.
  • El Ascenso del Adversario Automatizado: Los cazadores de amenazas de CrowdStrike ahora ven campañas automatizadas de extremo a extremo, desde currículos generados por IA con entrevistas de video falsificadas hasta intrusiones sin malware que viven enteramente en la nube.

Los defensores se enfrentan a amenazas que se adaptan y persisten con una supervisión humana mínima. Los atacantes han estado automatizando durante años; la IA simplemente ha puesto su flujo de trabajo en hiperimpulso.

Para mantener el ritmo, es hora de que nos deshagamos de los enfoques obsoletos y basados en listas de verificación para el cumplimiento y la ciberseguridad. Buscar una bala de plata con la última herramienta del mercado no es la respuesta. Dicho esto, esta es una oportunidad única para regresar a los aspectos básicos.

Deja de Preguntar “¿Estamos Cumpliendo?” y Comienza a Preguntar “¿Estamos Resilientes?”

Incluso mientras la IA redefine el panorama, la mayoría de las violaciones todavía ocurren debido a aspectos fundamentales descuidados. Claro, la voz del CEO fue clonada, pero el verdadero fracaso probablemente fue un proceso de aprobación financiera roto. La IA fue solo el último paso en una cadena de aspectos básicos pasados por alto.

La IA no necesita encontrar una explotación de día cero cuando puede encontrar un servidor no parcheado de cinco años o un desarrollador con derechos de administrador para todo. Comprar otra herramienta de seguridad impulsada por la IA no arreglará una cultura rota. La IA debe fortalecer los procesos sólidos, no sustituirlos.

Este es donde a menudo la dirección se equivoca. He estado en salas de juntas donde la pregunta era, “¿Estamos cumpliendo?” La mejor pregunta es, “¿Nuestro programa de seguridad hace que nuestro negocio sea más fuerte?”

El cumplimiento se convierte en un ejercicio de casilla. Los equipos de productos avanzan, los ingenieros reciben tareas de seguridad sin recursos, y los líderes asumen que una auditoría limpia significa que el negocio es seguro. No es así. La solución no es más herramientas; es un andamiaje más sólido desde arriba hacia abajo. La seguridad debe estar directamente vinculada al crecimiento empresarial y la integridad del producto.

Un Libro de Juegos Pragmático para la Era de la IA

Las empresas del Fortune 500 pueden tirar dinero a este problema. Las empresas de tamaño medio tienen que ser más inteligentes. Así que, ¿qué haces en realidad?

  1. Arregla Tu Fundamento Primero. Antes de comprar otra herramienta, asegúrate de tener un inventario sólido de tus datos, controles de acceso a prueba de balas y un proceso de parcheo que realmente funcione.
  2. Pon la IA en la Agenda. Realiza ejercicios de mesa basados en ataques impulsados por la IA. Haz que sea una parte regular de la presentación de la junta para que se trate como un riesgo empresarial, no como un problema de TI.
  3. Centra la Atención en el Comportamiento, No Solo en Señales Estáticas. Prioriza las herramientas que detectan actividad extraña, como una cuenta de usuario que accede de repente a una base de datos que nunca ha tocado, sobre las herramientas que solo buscan malware conocido.

La IA No es el Enemigo—La Complacencia Lo Es

La IA no es una espada de doble filo; es una lupa. Hace que los procesos buenos sean más eficientes y los procesos malos sean catastróficos.

Los atacantes siempre tendrán nuevas herramientas. La verdadera pregunta es si tu estrategia de seguridad se basa en un fundamento sólido de resiliencia o si solo estás persiguiendo el próximo objeto brillante. La era de la seguridad “configurada y olvidada” ha terminado. Las organizaciones que construyen una cultura de seguridad y dominan los aspectos básicos ganarán, incluso en la era de las amenazas autónomas.

mm

Nicholas Muy es el CISO en Scrut Automation, liderando iniciativas de ciberseguridad en cumplimiento y gestión de riesgos de inteligencia artificial. Con más de 15 años de experiencia en modelado de amenazas impulsado por inteligencia artificial y estrategia de seguridad empresarial, ha protegido entornos de Fortune 500 y ha contribuido a la política cibernética nacional en el Departamento de Seguridad Nacional de EE. UU.