La IA aumenta la sofisticación de los ciberataques.
Las tecnologías deepfake, y específicamente la clonación de voz, son uno de los primeros métodos de IA que los piratas informáticos emplearon en sus ataques de vishing (phishing de voz) para engañar con éxito a los empleados haciéndoles creer que estaban hablando con miembros de sus propias organizaciones. En 2019, los delincuentes utilizaron software basado en IA para hacerse pasar por un ejecutivo de una empresa alemana y exigieron una transferencia fraudulenta de 220.000 euros a su subordinado, el director ejecutivo de una filial de esa empresa con sede en el Reino Unido.
Estas llamadas potenciadas por IA también se pueden utilizar en combinación con otras tácticas. Por ejemplo, se ha informado que los delincuentes llaman a sus víctimas para avisarles sobre un correo electrónico que están a punto de recibir, de modo que cuando llegue el correo electrónico (que en realidad es un correo electrónico de phishing) la víctima no sospeche. Esto aumenta peligrosamente las tasas de éxito de los delincuentes, que pueden ser del 95%, ya que los correos electrónicos son menos probables que sean identificados como dañinos.
Si eso no fuera lo suficientemente impactante, es probable el lanzamiento de VALL-E este año, un modelo de conversión de texto a voz basado en transformador de Microsoft que puede generar voz en cualquier voz después de escuchar solo una muestra de tres segundos de esa voz. Esto empeorará aún más el panorama actual de amenazas de clonación de voz.
Sin embargo, la manipulación de la voz es solo una cara de la moneda. La alteración del material de vídeo también ha sido utilizada como arma por los ciberdelincuentes. Una falsa rendición del presidente ucraniano Zelenskyy circuló a principios de 2022, lo que ilustra el impacto potencial que podría tener este tipo de ataque de IA, especialmente si se mejora aún más.
De manera similar, presuntos ataques deepfake causaron revuelo en Alemania cuando el alcalde de Berlín se unió a una videoconferencia con el alcalde de Kiev, Vitali Klitschko, para discutir la guerra de Ucrania. Habló durante 15 minutos hasta que se descubrió que éste no era el propio Vitali Klitschko sino un “falso barato” en el que se doblaba audio manipulado sobre un vídeo existente. Este incidente dejó en claro el alcance despiadado de la manipulación de videos que intentan los impostores y lo fácil que todavía les resulta disfrazar sus ciberdelitos.
A medida que la calidad de los deepfakes continúa mejorando, es probable que los ciberdelincuentes lleven a cabo ataques de ingeniería social más creíbles y exitosos este año. De hecho, a los expertos legales y de seguridad les preocupa que los deepfakes se utilicen indebidamente para erosionar la confianza en los videos de vigilancia, las cámaras corporales y otras pruebas, así como para el ciberacoso, el chantaje, la manipulación de acciones y el empeoramiento de la inestabilidad política.
La IA está aumentando la sofisticación y la escala de los ciberataques minuto a minuto, y muchas organizaciones apenas han comenzado a prepararse contra ellos. Un claro ejemplo es el uso de IA generativa para crear correos electrónicos maliciosos que puedan eludir los filtros de spam. Un estudio realizado en 2021 por un equipo de investigación de la Agencia Gubernamental de Tecnología de Singapur descubrió que la IA generativa puede crear correos electrónicos de phishing convincentes en los que se hace clic con más frecuencia que los creados por humanos.
Los ciberdelincuentes ya utilizan un devil gpt, que es como ChatGPT pero para fines maliciosos. Este tipo de tecnología podría utilizarse para crear correos electrónicos de phishing aún más convincentes, así como para generar contenido malicioso que pueda propagarse en las redes sociales.