IA y los riesgos del aprendizaje automático en la protección

El ransomware es una amenaza de dimensión universal, ya que empresas de todos los tamaños y sectores, y en todos los países, se encuentran en riesgo. Eso es lo malo. Lo peor es que las amenazas están aumentando en complejidad, sofisticación y escala. Los ciberdelincuentes continúan desarrollando nuevas tácticas y explotando nuevas tecnologías para mejorar la efectividad de sus ataques.

Según el Informe de Acronis sobre Ciberamenazas, en 2022, el 30,6 % de todos los correos electrónicos recibidos fueron spam, en tanto que el 1,6 % contenían malware o enlaces de phishing. El phishing fue el vector utilizado en el 76 % de todos los ataques que consiguieron su objetivo y aproximadamente el 8 % de los endpoints intentaron acceder a URL maliciosas. Y los ataques siguen acelerándose: según el IBM Security X-Force Threat Intelligence Index 2023, se observó una reducción del 94 % en el tiempo promedio necesario para el despliegue de ataques de ransomware. Lo que a los ciberdelincuentes les llevaba dos meses en 2019 se redujo a tan solo cuatro días en 2021.

Los atacantes son cada vez más inteligentes, mejoran sus técnicas y estrategias, y recurren a la inteligencia artificial (IA) y al aprendizaje automático (AA) para optimizar la eficacia y el impacto de sus intrusiones. Los ataques de ransomware van más allá del cifrado e incluyen ataques dobles y triples bajo la forma de extracción de datos y la posterior extorsión para su devolución, así como la divulgación de filtraciones de datos a clientes y partners. Esto ejerce una mayor presión sobre la empresa para pagar el rescate.

Desde usar herramientas de IA generativa, como ChatGPT, hasta crear correos electrónicos de phishing para engañar incluso al empleado más desconfiado y mejorar la efectividad de los ataques a través de la inteligencia automática, estas nuevas estrategias complican tanto la prevención como la protección contra el ransomware. Las empresas inteligentes deben recurrir a herramientas de IA y AA para contrarrestar la amenaza del ransomware en permanente expansión.

Lamentablemente, las soluciones antimalware y antiransomware tradicionales no son eficaces contra las ciberamenazas modernas. Al depender de la comparación de firmas (que no permite identificar las amenazas de día cero previamente desconocidas), no pueden detectar las amenazas conocidas durante la intrusión inicial. Las soluciones antimalware tienen problemas para reconocer las amenazas que usan la extracción y el cifrado para capturar información clave.

Las empresas que siguen dependiendo exclusivamente de las soluciones antiransomware y antimalware tradicionales ponen en riesgo a sus clientes y partners, al igual que a sí mismas. Las amenazas de ransomware modernas requieren un enfoque más integral y por niveles. Al adoptar soluciones avanzadas que emplean la inteligencia artificial, el aprendizaje automático y el análisis de comportamientos, es posible protegerse mejor contra el sofisticado y cambiante entorno de amenazas actual.

El aprendizaje automático y la IA son componentes fundamentales de la protección moderna contra el ransomware, ya que permiten detectar los patrones de comportamientos maliciosos en lugar de limitarse a buscar la correspondencia de la firma de una instancia de malware con una base de datos de amenazas conocidas. Sin este enfoque conductual, ninguna medida antimalware puede identificar con éxito los miles de instancias de malware de día cero que los ciberdelincuentes generan en forma cotidiana.

El aprendizaje automático mejora su capacidad para detectar información sobre exploits sin registro previo al presentar una base de comportamientos seguros para el sistema en función de los datos pasados y actuales de interacciones con él. A medida que las organizaciones recopilan una cantidad cada vez mayor de datos, este enfoque permite detectar las amenazas de día cero de manera más confiable.

Según el informe X-Force de IBM Security, los algoritmos de aprendizaje automático presentan un índice de exactitud del 85 % en la detección de ataques de ransomware mediante el análisis de los patrones de tráfico de la red, lo que permite reducir el riesgo de pérdida de datos y el tiempo de inactividad de manera significativa.

Al desplegar soluciones antiransomware con IA y AA incorporados, las empresas aprovechan la capacidad que ofrece la tecnología para realmente "aprender" y adaptarse. Con el tiempo, los sistemas pueden desarrollar una base de comportamientos esperados y compararla con datos y comportamientos tanto nuevos como en permanente cambio. Con suficiente contexto, la protección contra el ransomware basada en IA y AA permite determinar si el comportamiento inesperado es seguro o no.

Los ciberdelincuentes sacan provecho de herramientas de IA generativa, como ChatGPT, para mejorar sus probabilidades de lanzar ataques exitosos. Las tácticas incluyen mejorar la sensación de autenticidad y confiabilidad de los correos electrónicos de phishing, analizar las aplicaciones de manera automática para detectar vulnerabilidades y perfeccionar la organización de los ataques en múltiples etapas.

Nos intrigaba saber qué tanto daño podría hacer ChatGPT, así que decidimos preguntarle. Esto es lo que respondió a la siguiente pregunta:

Los ciberdelincuentes pueden usar herramientas de IA generativa, como ChatGPT, de manera inadecuada para mejorar la efectividad de sus diversos ataques, incluidos los de ransomware. Si bien no puedo aprobar ni apoyar ningún tipo de actividad ilegal o maliciosa, puedo ofrecerles una mejor comprensión de la manera en que la IA generativa podría aplicarse en estos casos.

1. Ingeniería social: los ciberdelincuentes pueden usar la IA generativa para hacerse pasar por agentes conversacionales reales, como bots de chat, para engañar y manipular a personas desprevenidas. Al imitar las respuestas y los comportamientos humanos, estos agentes de IA pueden engañar a los usuarios para que revelen información confidencial o hagan clic en enlaces maliciosos, lo que puede facilitar la distribución del ransomware.

2. Ataques de phishing: los bots de chat basados en IA pueden generar mensajes de phishing muy convincentes y con un alto nivel de personalización, lo que los hace más efectivos a la hora de engañar a los usuarios para que divulguen información confidencial o descarguen adjuntos maliciosos. Con frecuencia, los ataques de ransomware se inician por medio de campañas de phishing y los contenidos generados por la IA permitirían complejizar aún más estos ataques.

3. Evadir la detección: puede usarse la IA generativa para desarrollar variantes de ransomware polimórficas o en permanente cambio. De esta manera, a las soluciones tradicionales de seguridad les resulta más difícil detectarlas y bloquearlas. Al utilizar los algoritmos de IA para modificar en forma continua el código subyacente del ransomware, los ciberdelincuentes pueden desarrollar variantes que burlen las defensas convencionales basadas en firmas.

4. Ataques dirigidos: puede utilizarse la IA para recopilar y analizar grandes cantidades de datos sobre posibles víctimas, lo que permite que los ciberdelincuentes desarrollen ataques de ransomware más dirigidos y personalizados. Al hacer uso de las técnicas del aprendizaje automático, los atacantes pueden sacar provecho de las debilidades y vulnerabilidades propias del entorno de una víctima para que sus ataques sean más exitosos.

Es importante señalar que el uso de la IA generativa en la ciberdelincuencia es una inquietud permanente y que la comunidad de seguridad trabaja de manera activa para desarrollar contramedidas. Se deben usar y desarrollar tecnologías de IA de manera responsable para atenuar los riesgos asociados con su posible uso indebido por parte de los ciberdelincuentes.

Pueden usarse los algoritmos del aprendizaje automático de distintas maneras para optimizar los diferentes aspectos del proceso de ataque. Si bien no puedo aprobar ni apoyar ningún tipo de actividad ilegal, estas son algunas de las maneras en las que podría hacerse un uso indebido del aprendizaje automático en ataques de ransomware:

1. Ataques dirigidos: los algoritmos de aprendizaje automático pueden analizar grandes conjuntos de datos para identificar posibles víctimas y recopilar información sobre sus vulnerabilidades, sistemas o redes. Al conocer el entorno de la víctima, los ciberdelincuentes pueden personalizar sus ataques de ransomware para aprovecharse de ciertas debilidades y, así, aumentar la posibilidad de una infección y un cifrado exitosos.

2. Distribución del ataque: puede utilizarse el aprendizaje automático para optimizar los mecanismos de entrega del ransomware, como campañas de phishing por correo electrónico o sitios web maliciosos. Al entrenar modelos con grandes cantidades de datos, los atacantes pueden mejorar la precisión de los ataques a sus posibles víctimas y aumentar las chances de que los usuarios interactúen con contenidos maliciosos, lo que lleva al despliegue del ransomware.

3. Técnicas de evasión: los algoritmos de aprendizaje automático ayudan a los ciberdelincuentes a desarrollar técnicas de evasión para sortear las protecciones de seguridad. Al analizar las soluciones de seguridad y sus mecanismos de detección, los ciberdelincuentes pueden entrenar modelos para generar variantes de ransomware que tengan menores posibilidades de ser detectadas por antivirus o sistemas de detección de intrusiones tradicionales. De esta manera, a las víctimas les resulta más difícil protegerse.

4. Optimización del cifrado: puede utilizarse el aprendizaje automático para mejorar los algoritmos de cifrado que usa el ransomware y hacerlos más sofisticados y seguros. Al entrenar modelos sobre la base de patrones y técnicas de cifrado, los ciberdelincuentes pueden desarrollar métodos de cifrado más sólidos y difíciles de desentrañar y, de este modo, aumentar la posibilidad de que las víctimas se vean obligadas a pagar un rescate para recuperar sus datos.

Sin lugar a dudas, las tecnologías como la inteligencia artificial y el aprendizaje automático representan una amenaza real para el ecosistema de ransomware. Dado que aumentan la sofisticación y la efectividad de los ataques de ransomware, estas herramientas complican la respuesta y la protección. Con una infraestructura de ciberseguridad robusta que incluya un plan integral de respuesta ante incidentes, su empresa puede pasar a la ofensiva para luchar contra las amenazas de ransomware.

El ransomware es la principal amenaza a la que se enfrentan las empresas, más allá de su tamaño. Los ciberdelincuentes continúan desarrollando sus tácticas para encontrar nuevas maneras de infiltrarse en redes y sistemas. Toda empresa que pretenda reducir el riesgo debe adoptar una defensa agresiva, pero también prepararse ante la posibilidad de que un ataque prospere.

Es necesario que las empresas adopten las herramientas de inteligencia artificial y aprendizaje automático para detectar, evitar y responder ante ataques de ransomware. El futuro del ransomware exige la capacidad para analizar patrones de tráfico, identificar anomalías y detectar posibles ataques. Al anticiparse a las amenazas de ransomware con métodos de IA y AA, su empresa estará mejor posicionada para proteger la información y los procesos clave.

Acronis Cyber Protect es una solución de ciberprotección integrada que ayuda a proteger las empresas contra todo tipo de ransomware. Combina aprendizaje automático e inteligencia artificial para detectar y bloquear los ataques de ransomware, además de ofrecer opciones de recuperación en caso de que un ataque tenga éxito.

Acronis Cyber Protect detecta y neutraliza los ataques de ransomware utilizando un enfoque multicapa. Las amenazas de ransomware conocidas se identifican mediante la detección heurística y basada en firmas, mientras para las amenazas totalmente nuevas se emplea análisis de comportamientos y tecnologías de aprendizaje automático. La solución utiliza inteligencia artificial para controlar cambios de comportamiento que pudieran ser indicio de un ataque inminente.

Ante un ataque, Acronis Cyber Protect ofrece varias opciones para la recuperación. Por ejemplo, puede restaurar archivos o carpetas individuales que se hayan cifrado y también sistemas completos. Además, ofrece la opción de revertir los cambios que realiza el ransomware, de manera que pueda recuperarse una versión de los datos anterior al ataque.