Papel de la inteligencia artificial y el aprendizaje automático en la protección contra el ransomware
Por qué la inteligencia artificial y el aprendizaje automático complican la protección contra el ransomware
El ransomware es un riesgo universal al que están expuestas todas las empresas, sea cual sea su tamaño, sector o país. Es una mala noticia, pero lo peor es que las amenazas están creciendo en complejidad, sofisticación y escala. Los ciberdelincuentes desarrollan continuamente nuevas tácticas y emplean nuevas tecnologías para mejorar la eficacia de sus ataques.
Según el Informe de Acronis sobre ciberamenazas, en 2022 el 30,6 % de todos los mensajes recibidos eran spam y el 1,6 % contenía malware o enlaces de phishing. El phishing fue el vector utilizado en el 76 % de todos los ataques que consiguieron su objetivo y aproximadamente un 8 % de los endpoints intentaron acceder a URL maliciosas. Y los ataques están ganando rapidez: el IBM Security X-Force Threat Intelligence Index 2023 revela una reducción del 94 % en el tiempo medio de despliegue de los ataques de ransomware. En 2019 los atacantes tardaban más de dos meses en hacer lo que en 2021 podían concluir en menos de cuatro días.
Además, los ciberdelincuentes son cada vez más inteligentes, perfeccionan sus técnicas y estrategias, y recurren a la inteligencia artificial (IA) y el aprendizaje automático (ML) para mejorar la efectividad y el impacto de las intrusiones. Los ataques de ransomware están dejando atrás el cifrado para incluir ataques dobles y triples, que consisten en una filtración de datos y la consiguiente extorsión para su devolución, y después en la amenaza de comunicar la fuga de datos a sus clientes y partners, una presión adicional para que la empresa pague el rescate.
Desde el uso de herramientas de IA generativa, como ChatGPT, hasta la creación de mensajes de correo electrónico de phishing que engañan incluso al empleado más cauto, pasando por la mejora de la efectividad de los ataques con inteligencia automática, estas nuevas estrategias complican tanto la prevención como la protección frente al ransomware. Para contrarrestar la amenaza del ransomware en continua expansión, las empresas previsoras deben recurrir a técnicas de inteligencia artificial y aprendizaje automático.
Los métodos de protección tradicionales no bastan
Lamentablemente, las soluciones antiransomware y antimalware tradicionales no pueden hacer frente a las ciberamenazas modernas con eficacia. Al estar basadas en la comparación de firmas (incapaz de identificar amenazas de día cero desconocidas), no pueden detectar amenazas conocidas durante la intrusión inicial. Las soluciones antimalware tienen dificultades para reconocer amenazas que utilizan la filtración y el cifrado para apoderarse de información de valor.
Cualquier empresa que siga confiando únicamente en soluciones antiransomware y antimalware tradicionales se pone en peligro a sí misma y también a sus clientes y socios. Las amenazas de ransomware modernas requieren un enfoque multicapa más integral. Con soluciones avanzadas que emplean inteligencia artificial, aprendizaje automático y análisis de comportamientos, es posible mejorar la protección contra el entorno actual de amenazas sofisticadas y cambiantes.
La inteligencia artificial y el aprendizaje automático pueden mejorar la protección contra el ransomware
El aprendizaje automático y la inteligencia artificial son componentes esenciales de una protección antiransomware moderna, ya que facilitan la detección de patrones de comportamientos maliciosos, en lugar de limitarse a comparar la firma de una instancia de malware con una base de datos de amenazas conocidas. Sin este enfoque basado en el comportamiento, ninguna medida antimalware podría identificar los miles de instancias de malware de día cero que los ciberdelincuentes generan a diario.
El aprendizaje automático mejora la capacidad de detectar información sobre exploits no registrados con anterioridad porque presenta comportamientos de referencia seguros para el sistema basándose en datos de interacciones pasadas y actuales. A medida que las organizaciones van recopilando más datos, este enfoque puede detectar amenazas de día cero con más fiabilidad.
Según el informe X-Force de IBM Security, los algoritmos de aprendizaje automático alcanzan un índice de precisión del 85 % en la detección de ataques de ransomware analizando patrones de tráfico de red, lo cual puede reducir significativamente el riesgo de pérdida de datos y el tiempo de inactividad.
Las empresas que despliegan soluciones antiransomware con técnicas IA y ML integradas sacan provecho de la capacidad de estas tecnologías para "aprender" y adaptarse de verdad. Con el tiempo, los sistemas pueden elaborar un conjunto de comportamientos previsibles de referencia y compararlo con comportamientos y datos cambiantes. Si dispone de suficiente contexto, la protección antiransomware basada en IA y ML puede determinar si un comportamiento imprevisto es seguro o no.
Cómo se sirven los ciberdelincuentes de la inteligencia artificial y el aprendizaje automático
Los atacantes se sirven de herramientas de IA generativa, como ChatGPT, para aumentar sus probabilidades de lanzar ataques con éxito. Sus tácticas consisten en mejorar la apariencia de autenticidad y fiabilidad de los mensajes de phishing, analizar las aplicaciones automáticamente para descubrir vulnerabilidades y perfeccionar la organización de ataques multifase.
Nos propusimos averiguar cuánto daño puede hacer ChatGPT y decidimos preguntárselo directamente. He aquí su respuesta a la siguiente pregunta:
¿Pueden los ciberdelincuentes utilizar herramientas de IA generativa, como ChatGPT, para mejorar la eficacia de sus ataques de ransomware?
Los ciberdelincuentes pueden utilizar indebidamente la inteligencia artificial generativa, como ChatGPT, para mejorar la eficacia de diversos ataques, incluidos los de ransomware. Aunque no puedo aprobar ni apoyar actividades ilegales o maliciosas, sí puedo darles una idea de cómo podría aprovecharse la IA en estas situaciones.
1. Ingeniería social: los ciberdelincuentes pueden utilizar la IA generativa para hacerse pasar por agentes conversacionales reales, como chatbots, con el fin de engañar y manipular a usuarios desprevenidos. Al imitar respuestas y comportamientos humanos, estos agentes basados en IA pueden incitar a los usuarios a revelar información confidencial o hacer clic en enlaces maliciosos, lo cual facilita la distribución de ransomware.
2. Ataques de phishing: los chatbots basados en IA pueden generar mensajes de phishing muy convincentes y personalizados, lo que incrementa su eficacia a la hora de conseguir que los usuarios divulguen información confidencial o descarguen adjuntos maliciosos. Los ataques de ransomware a menudo se inician con campañas de phishing y el contenido generado por IA puede hacer estos ataques aún más sofisticados.
3. Elusión de detección: la IA generativa puede utilizarse para producir cepas de ransomware polimórficas o dinámicamente cambiantes que resultan más difíciles de detectar y bloquear para las soluciones de seguridad tradicionales. Los ciberdelincuentes pueden crear variantes capaces de eludir las defensas convencionales basadas en firmas con el uso de algoritmos de IA que modifiquen continuamente el código subyacente del ransomware.
4. Ataques selectivos: la IA puede emplearse para reunir y analizar enormes cantidades de datos sobre víctimas potenciales, lo que permite a los ciberdelincuentes diseñar ataques de ransomware más personalizados y selectivos. Los atacantes aplican técnicas de aprendizaje automático para explotar las vulnerabilidades y los puntos débiles específicos del entorno de una víctima; así aumentan las probabilidades de éxito del ataque.
Es fundamental señalar que el uso de la IA generativa en la ciberdelincuencia suscita una preocupación constante y que la comunidad de seguridad trabaja activamente en el desarrollo de contramedidas. Para mitigar los riesgos que conlleva su posible uso indebido por parte de los ciberdelincuentes, son necesarios el uso y el desarrollo responsables de tecnologías de IA.
A continuación, preguntamos a ChatGPT cómo pueden los ciberdelincuentes utilizar indebidamente el aprendizaje automático. La respuesta también dio que pensar.
Los algoritmos de aprendizaje automático se pueden utilizar de varias maneras para optimizar los diferentes aspectos del proceso de ataque. Aunque no puedo aprobar ni apoyar actividades ilegales o maliciosas, estas son algunas formas de utilizar indebidamente el aprendizaje automático en ataques de ransomware:
1. Ataques selectivos: los algoritmos de aprendizaje automático pueden analizar grandes conjuntos de datos para identificar posibles víctimas y reunir información sobre sus vulnerabilidades, sistemas o redes. Conociendo el entorno del blanco elegido, los ciberdelincuentes pueden adaptar sus ataques de ransomware para explotar puntos débiles específicos y así aumentar las probabilidades de que la infección y el cifrado tengan éxito.
2. Distribución de ataques: el aprendizaje automático puede servir para optimizar los mecanismos de distribución de ransomware, como campañas de correo electrónico de phishing o sitios web maliciosos. Tras entrenar sus modelos con enormes volúmenes de datos, los ciberdelincuentes mejoran la precisión del ataque a las posibles víctimas y elevan las posibilidades de que los usuarios interaccionen con contenido malicioso para, de este modo, facilitar el despliegue de ransomware.
3. Técnicas de evasión: con los algoritmos de aprendizaje automático, los ciberdelincuentes pueden desarrollar técnicas de evasión que les ayuden a eludir las defensas de seguridad. Una vez analizadas las soluciones de seguridad y sus mecanismos de detección, pueden entrenar modelos para generar variantes de ransomware que los tradicionales antivirus o sistemas de detección de intrusiones tienen menos posibilidades de identificar. Como resultado, para las víctimas resulta más difícil protegerse.
4. Optimización del cifrado: el aprendizaje automático puede utilizarse para mejorar los algoritmos de cifrado empleados en el ransomware y hacerlos más sofisticados y seguros. Los ciberdelincuentes pueden entrenar modelos con patrones y técnicas de cifrado para desarrollar métodos más eficaces y difíciles de descodificar, lo que aumenta las probabilidades de que las víctimas se vean obligadas a pagar el rescate para recuperar sus datos.
Está claro que tecnologías tales como la inteligencia artificial y el aprendizaje automático representan una amenaza real en el ecosistema del ransomware. Son herramientas que aumentan la sofisticación y la eficacia de los ataques y, por lo tanto, complican la respuesta y la protección. Con una robusta infraestructura de seguridad que incluya un exhaustivo plan de respuesta ante incidentes, es posible pasar a la ofensiva para defenderse del ransomware.
El futuro de la protección contra el ransomware
El ransomware es la principal amenaza a la que se enfrentan empresas de todos los tamaños. Los ciberdelincuentes desarrollan constantemente sus tácticas para encontrar formas nuevas de infiltrarse en sistemas y redes. Toda empresa que pretenda reducir el riesgo debe adoptar una defensa agresiva, pero también prepararse ante la posibilidad de que un ataque prospere.
Para detectar, prevenir y responder a los ataques de ransomware, las empresas tienen que incorporar herramientas de inteligencia artificial y aprendizaje automático. El futuro del ransomware exige tener capacidad para analizar patrones de tráfico, identificar anomalías y detectar posibles ataques. Anticipándose a las amenazas de ransomware con estas tecnologías, estará en mejores condiciones para proteger la información y los procesos de más valor.
Protéjase frente a los ataques de ransomware con Acronis Cyber Protect
Acronis Cyber Protect es una solución de ciberprotección integrada que ayuda a proteger las empresas contra todo tipo de ransomware. Emplea una combinación de aprendizaje automático e inteligencia artificial para detectar y bloquear los ataques de ransomware, además de opciones de recuperación en caso de que un ataque tenga éxito.
Acronis Cyber Protect detecta y neutraliza los ataques de ransomware utilizando un enfoque multicapa. Las amenazas de ransomware conocidas se identifican mediante detección heurística y basada en firmas, mientras que para las amenazas totalmente nuevas se emplean análisis de comportamientos y tecnologías de aprendizaje automático. La solución utiliza inteligencia artificial para controlar cambios de comportamiento que pudieran ser indicio de un ataque inminente.
En caso de ataque, Acronis Cyber Protect ofrece varias opciones para la recuperación. Por ejemplo, puede restaurar archivos o carpetas individuales que hayan sido cifradas o bien sistemas completos. Además, ofrece la opción de revertir los cambios que realiza el ransomware de manera que pueda recuperarse una versión de los datos anterior al ataque.