Según cifras de la Policía de Investigaciones, PDI, entre 2017 y 2021 el sabotaje informático aumentó un 95%, esto es desde 547 a mil 119 casos; y el espionaje, un 61% en el mismo período. Hoy con las herramientas basadas en Inteligencia Artificial IA, ya se está hablando que pueden imitar la voz para engañar a una persona, ¿quién pondría en duda que verdaderamente está llamando un familiar o amigo muy cercano para solicitar dinero?, más aún ¿si reconocemos su voz?
De estos cambios, de cómo está se están realizando los principales delitos informáticos y en qué punto está la ciberseguridad al respecto, se refirió el ingeniero civil informático, doctor en ingeniería informática y docente del Ingeniería UdeC, Pedro Pinacho.
Para Pinacho, en 10 o 15 años el escenario de la ciber amenaza ha cambiado bastante, porque antiguamente los ataques, que eran más bien esporádicos, tenían que ver con objetivos de oportunidad o que, pues, eran simplemente juegos. Pero a la fecha, dijo, se ha profesionalizado el cibercrimen, se ha monetizado, de hecho, ahora hay una industria pujante de cibercriminales con vínculos internacionales, con productos y servicios oscuros entre ellos y que sacan bastante rédito. “Estamos hablando de bandas de profesionales de la tecnología y de la información, puede estar un año infiltrado en un sistema para luego atacar y robar, entonces ha cambiado el escenario y en ese sentido siempre estamos jugando el gato y al ratón, a medida que se van perfeccionando las herramientas, ellos también se van perfeccionando”, especificó.
¿Y cuál es el escenario actual?
A partir de 2022 prácticamente hubo una explosión disruptiva de nuevas herramientas en inteligencia artificial las que se están actualizando rápidamente, en especial con modelos generativos basados en Deep Learning (redes neuronales de aprendizaje profundo) y las que pueden ser ocupadas para malos propósitos como crear imágenes, audios y texto fraudulento y/o ofensivo. Ahora tenemos una serie de herramientas nuevas, de modelos grandes del lenguaje sea GPT-3.x o GPT-4 AIpaca de la Universidad de Stanford y LLaMA-x de Meta.
¿Se está más vulnerable frente a un ciber ataque?
La parte más sensible de la ciberseguridad es el denominado vector social o vector humano. Hace poco falleció Kevin Mitnick, considerado el hacker más famoso de todos los tiempos y quien creó el concepto de ingeniería social. Y la ingeniería social es justamente lo que hace más vulnerable a los sistemas y tiene que ver cuando el atacante utiliza el engaño, el ejemplo más simple es el Cuento del Tío, tenemos el phishing, que es el engaño en internet y un montón de acciones que tienen que ver con hacer caer a esta gente. Aunque muchos son bastante burdos; sin embargo, con todas las herramientas automáticas de recolección de datos que existen como las de inteligencia de fuente abierta u Open Source Intelligence, OSINT, se podría buscar a alguien por el nombre, hacer un perfil completo de la información pública, que es bastante más de lo que uno cree, y con esto alimentar un tambor de datos y usar sobre esto un modelo de lenguaje sofisticado como GPT al que se le encomienda construir el phishing. Así el antiguo phishing burdo se va a transformar en un spear-phishing, que es el engaño dirigido a un objetivo específico y que hará que posiblemente alguien caiga, porque va a citar a sus familiares y sabrá información, por ejemplo, dónde compró, entonces le hará sentido el mensaje, eso es lo peligroso que, en el fondo, estas herramientas son capaces de sintetizar el lenguaje mejor que nosotros. Un atacante que utiliza una herramienta para sintetizar cientos de mensajes de este tipo puede aumentar mucho más la probabilidad de que el engaño pase y eso es lo que nos estamos enfrentando.
¿Qué se puede esperar?
La parte bonita es que la comunidad del software libre está generando herramientas en base a esto más rápido de lo que ellos pueden imaginarlas. Los códigos de estos mega modelos como GPT no han sido publicados, la empresa que los creó tiene el uso privativo, uno puede conectarse, tienes que pagar, de cierta forma es muy poderoso. Pero, por otro lado, se han liberado algunos modelos que utilizan la misma tecnología, aunque más pequeños, más ligeros, más rápidos, entre ellos, Alpaca, que es de Stanford que en el fondo son desarrollos académicos o Llama de Meta que están liberados para cualquier propósito y que se utilizan como herramientas.
Algunas recomendaciones:
– Evitar entregar datos que no sean necesarios
– Mantener perfiles más bajos en redes sociales, especialmente, cuando se trata de niños.
– Mucho cuidado con las credenciales de correos electrónicos personales y sobre todo las corporativas, estas últimas son muy buscadas para cometer whaling, un tipo de phishing dirigido a personas de alto rango en una empresa.
– Realizar mucha rotación de contraseñas en lo posible cambiarlas con regularidad y no reciclarlas.
