[10/04/2024] La consultora PwC ha publicado recientemente la versión 2024 de su estudio Global Digital Trust Insights, un documento que se realiza por 26 años consecutivos y que, de acuerdo con la consultora, es la encuesta más grande de la industria de la ciberseguridad. En este estudio se ha entrevistado a 3.800 ejecutivos de las áreas de seguridad, tecnología y negocios, y para este año señala como una de las novedades el fuerte ingreso de la inteligencia artificial generativa como parte de las herramientas que ambos lados (atacantes y atacados) utilizan para mejorar sus acciones.
Alexander García, socio de Ciberseguridad & Privacidad de PwC Perú, explicó algunos de los hallazgos más importantes del estudio, y las recomendaciones que ofrece la consultora para que las empresas puedan afrontar con éxito este nuevo y retador entorno de la ciberseguridad.
Las cifras del estudio
Al ingresar a los resultados de la encuesta se puede identificar los resultados más resaltantes que han traído las entrevistas de este año. Por ejemplo, de acuerdo con las respuestas, prácticamente, siete de cada 10 (69%) ejecutivos afirmaron que su organización usará la inteligencia artificial generativa para su ciberdefensa en los siguientes 12 meses.
Además, el estudio también señaló que el incremento en las ciberamenazas se puede producir debido al uso de la inteligencia artificial generativa para comprometer de forma avanzada los correos corporativos de las organizaciones. De hecho, el 52% de los encuestados afirmó que esperan que la inteligencia artificial generativa conduzca a catastróficos ciberataques en los siguientes 12 meses.
Por otro lado, el 63% de los ejecutivos senior se sienten personalmente cómodos usando herramientas de inteligencia artificial generativa incluso si no se han implementado políticas de gobernanza de los datos.
¿Cómo interviene la inteligencia artificial generativa en la ciberseguridad? De acuerdo con el estudio básicamente en dos campos.
Para la defensa. Las organizaciones se han visto abrumadas durante mucho tiempo por el gran número y la complejidad de los ciberataques dirigidos por humanos, que aumentan continuamente. La inteligencia artificial generativa está facilitando la realización de ciberataques complejos a escala. Los investigadores encontraron un aumento del 135% en los nuevos ataques de ingeniería social en solo un mes, de enero a febrero del 2023. Servicios como WormGPT y FraudGPT están permitiendo el phishing de credenciales y el compromiso del correo electrónico empresarial altamente personalizado.
Para asegurar la innovación. Las empresas ansiosas por aprovechar los muchos beneficios potenciales de la inteligencia artificial generativa para desarrollar nuevas líneas de negocio y aumentar la productividad de los empleados invitan a graves riesgos para la privacidad, la ciberseguridad, el cumplimiento normativo, las relaciones con terceros, las obligaciones legales y la propiedad intelectual. Por lo tanto, para obtener el máximo beneficio de esta tecnología innovadora, las organizaciones deben gestionar la amplia gama de riesgos que plantea de una manera que considere el negocio en su conjunto.
De hecho, la inteligencia artificial generativa puede tener usos específicos en la ciberdefensa. Por ejemplo, en detección y análisis de amenazas. "La inteligencia artificial generativa puede ser muy valiosa para detectar de forma proactiva vulnerabilidades, evaluar rápidamente su alcance (lo que está en riesgo, lo que ya está comprometido y cuáles son los daños) y presentar opciones probadas y verdaderas para la defensa y la remediación. Además, puede identificar patrones, anomalías e indicadores de compromiso que eluden los sistemas tradicionales de detección basados en firmas”, anotó el ejecutivo.
García anotó que la inteligencia artificial generativa es fuerte en la síntesis de datos voluminosos sobre un incidente cibernético de múltiples sistemas y fuentes para ayudar a los equipos a comprender lo que ha sucedido. "Puede presentar amenazas complejas en un lenguaje fácil de entender, asesorar sobre estrategias de mitigación y ayudar con búsquedas e investigaciones”.
También ayuda en el reporte de riesgos e incidentes cibernéticos. "La inteligencia artificial generativa promete hacer que los informes de incidentes y riesgos cibernéticos sean mucho más sencillos. Los proveedores ya están trabajando en esta capacidad. Con la ayuda del procesamiento del lenguaje natural (NLP), la inteligencia artificial generativa puede convertir los datos técnicos en contenido conciso que las personas sin conocimientos técnicos puedan entender. Puede ayudar con los informes de respuesta a incidentes, la inteligencia de amenazas, las evaluaciones de riesgos, las auditorías y el cumplimiento normativo. Y puede presentar sus recomendaciones en términos que cualquiera pueda entender, incluso traduciendo gráficos confusos en texto simple. La inteligencia artificial generativa también podría ser entrenado para crear plantillas para comparaciones con los estándares de la industria y las prácticas líderes”, sostuvo García.
Finalmente, también puede usarse para realizar controles adaptativos. El ejecutivo indicó que proteger la nube y la cadena de suministro de software requiere actualizaciones constantes en las políticas y controles de seguridad, una tarea desalentadora hoy en día. "Los algoritmos de aprendizaje automático y las herramientas de inteligencia artificial generativa pronto podrían recomendar, evaluar y redactar políticas de seguridad que se adapten al perfil de amenazas, las tecnologías y los objetivos comerciales de una organización. Estas herramientas podrían probar y confirmar que las políticas son holísticas en todo el entorno de TI. Dentro de un entorno de confianza cero, la inteligencia artificial generativa puede automatizar y evaluar y asignar continuamente puntuaciones de riesgo para los endpoints, y revisar las solicitudes de acceso y los permisos. Un enfoque adaptativo, impulsado por las herramientas de GenAI, puede ayudar a las organizaciones a responder mejor a las amenazas cambiantes y mantenerse seguras”.
García indicó que el gran cambio que se ha producido desde el año pasado con el lanzamiento de las herramientas de inteligencia artificial a nivel masivo es que hasta hace dos años todas las herramientas de inteligencia artificial que existían en el mercado eran herramientas o soluciones para ser usadas por personal muy especializado, como científicos de datos, programadores, desarrolladores. "Sin embargo, con la aparición de todas las herramientas que hemos visto en los últimos meses ya estas tecnologías están a disposición de cualquier usuario”, explicó García.
Otros hallazgos del estudio
García considera además que se puede identificar a partir del estudio tres tipos de amenazas que deben enfrentar las organizaciones. La primera es que los ataques ahora se van a dirigir a la nube; dado que las organizaciones mudaron a la nube la mayor parte de sus procesos es de entender que ahora los ciberdelincuentes apunten a la nube como su siguiente objetivo de ataque.
"Entonces, ahora, todos los servicios que están en esquemas de nube están siendo objeto de ataques informáticos de parte de los delincuentes que se dedican a estos actos. Casi el 47% de los encuestados indicó su preocupación por ataques en esos entornos”, indicó el analista.
Otra de las amenazas, de acuerdo con García, son los impactos que puede sufrir una organización a partir de los ataques. El primero de esos impactos es la exposición de la información de la empresa; los ataques pueden hacer que los datos de una organización que son privados puedan ser vistos por otros agentes.
Un segundo impacto señalado es el daño reputacional. Ser una empresa que ha sido expuesta a un robo de información o ataque informático puede ser que impacte en la reputación o incluso en la marca de la compañía. Finalmente, el tercer impacto es la indisponibilidad de la información; un ataque puede ocasionar que la información o los sistemas de una compañía queden fuera del alcance de los usuarios, con lo cual también se interrumpen las operaciones de la firma.
Un tercer punto que resaltó el entrevistado es la modernización de la infraestructura tecnológica. Obviamente, para hacer frente a las amenazas es necesario modernizar la infraestructura, mientras más actualizada esté, es menos probable que pueda ser vulnerada. Casi el 50% de los encuestados sostuvo que se iba a enfocar en los siguientes 12 meses a modernizar su tecnología.
"Del presupuesto de TI que es un 100%, entre 15% a 25% se dedica a la parte de seguridad. La pregunta iba específicamente a cuáles eran las prioridades en las inversiones de ciberseguridad. Entonces, la primera prioridad es modernizar lo que tenían. La segunda prioridad es optimizar lo que ya tenían adquirido. Y la tercera prioridad es entrenar a su personal en aspectos de ciberseguridad”, detalló.
Este tercer punto es muy importante porque es conocido que más del 40% de los ataques informáticos se originan por una inadecuada diligencia de los colaboradores con la tecnología. Por ejemplo, cuando abren un correo cuyo remitente desconocen o cuando abren un enlace en su computadora sin saber si es seguro, eso abre las puertas a ataques informáticos.
"Las compañías han entendido que más allá de tener en dinero para invertir en tecnología, tienen que invertir en la cultura de ciberseguridad de sus colaboradores. Que es la primera línea de defensa ante cualquier ataque informático”, indicó el analista.
¿Son diferentes los hallazgos para la región? García sostiene que los resultados de la región no distan mucho de lo global. Quizás la única variante que se ve para América Latina y para el Perú son dos puntos. El primero es que se ha presentado un incremento en los ataques de ransomware en la región en comparación con el año pasado. Y lo segundo es que cada vez se ven más ataques informáticos a través de terceros. Por ejemplo, una empresa que se dedica a comercializar alimentos terceriza su equipo de seguridad con un tercero que se especializa en administrar tecnología. ¿Qué ha pasado en la región en los últimos años? Ha habido ataques informáticos sobre los proveedores que brindan los servicios a los clientes. A eso se le llama 'ataques informáticos a terceros'. Si se ataca al proveedor se pueden infiltrar en la red de la compañía.
Recomendaciones
Una de las primeras recomendaciones que señaló García es que las compañías que están orientadas a experimentar con estas tecnologías, tienen primero hacer una evaluación de cómo van a gobernar esas nuevas tecnologías en razón a sus procesos de negocio. Debe haber lineamientos o políticas de cómo se va a usar estas tecnologías dentro del ámbito empresarial, porque son tecnologías en maduración, no tecnologías que ya están totalmente estables.
"Lo segundo es el uso de estas tecnologías con un fin especifico. Si bien se habla mucho de esto, hay que determinar en qué la voy a utilizar para mi negocio, para mi empresa. ¿La voy a usar para mejorar mi productividad, para ganar más eficiencia? Debe haber algún elemento de necesidad de negocio que yo requiera para poder usar la tecnología de la mejor manera”, sostuvo.
Finalmente, un tercer punto que señaló el ejecutivo es capacitar al personal que va a utilizar esta tecnología, porque esas tecnologías al ser muy avanzadas parecen 'cajas negras'. Tiene que realizarse una evaluación de los resultados de la tecnología para determinar si está proporcionando resultados razonables, de precisión y no tomar esa información como 100% fiable, por ser herramientas que están en proceso de maduración.
Jose Antonio Trujillo, CTOPerú