Contrarrestando los ciberataques de IA mediante una defensa en profundidad.
Cómo prevenir ciberataques de inteligencia artificial mediante una defensa en profundidad.
En los últimos años, los ciberataques han experimentado un crecimiento casi exponencial año tras año. Esta tendencia parece intensificarse con la incorporación de tecnologías avanzadas, como la inteligencia artificial generativa, en manos de los actores de amenaza. En 2023, los expertos en seguridad informaron un sorprendente aumento del 75% en los ciberataques, de los cuales el 85% fueron provocados por IA generativa. Estas amenazas cibernéticas, rápidas y precisas, tienen la capacidad de determinar automáticamente estrategias de ataque óptimas, modificar su código para eludir la detección y lanzar ataques automáticos de forma continua.
Para que las empresas puedan defenderse de estos ataques mejorados, deben encontrar formas de aprovechar la inteligencia artificial a su favor. Sin embargo, no es tan sencillo como usar los mismos sistemas contra los atacantes; las herramientas de ciberseguridad basadas en IA también son vulnerables a ataques, y cualquier interferencia, aunque pequeña, con los conjuntos de datos o entradas puede comprometer los sistemas. Las empresas no pueden confiar en una sola solución para enfrentar el creciente nivel de amenazas cibernéticas impulsadas por IA, especialmente cuando no se conocen completamente sus capacidades. La única forma de enfrentar esta emergencia de seguridad creciente es mediante una planificación proactiva que contemple múltiples contingencias para prevenir, detectar y eliminar ciberamenazas a través de herramientas y protocolos de seguridad superpuestos. Este enfoque integral es conocido como defensa en profundidad.
La lista de vulnerabilidades que pueden ser explotadas por ciberataques es extensa. Los modelos de lenguaje (LLMs) son particularmente eficaces para identificar rápidamente estos puntos débiles, que incluyen vulnerabilidades de día cero. Este tipo de fallos puede convertirse rápidamente en un único punto de falla que los atacantes pueden usar para eludir las medidas de seguridad existentes, lo que les permite causar fallos en cascada dentro de la infraestructura de ciberseguridad y acceder extensamente a los sistemas empresariales.
Los equipos de ciberseguridad deberían trabajar bajo la premisa de que todo software y hardware utilizado contiene errores que pueden ser explotados para acceder a los sistemas de las empresas, ya sea en su propia infraestructura de TI o en servicios de terceros. Por esta razón, no se puede depender únicamente de una sola defensa de seguridad, sino que se deben implementar defensas de seguridad más profundas y variadas.
La filosofía de defensa en profundidad se enfoca en tres niveles clave de seguridad: prevención, detección y respuesta. Este enfoque prioriza la "superposición" de múltiples defensas en estos niveles para proteger de manera exhaustiva todos los controles de seguridad, incluyendo herramientas y procedimientos de mejores prácticas entre los equipos de personal. Controles técnicos como cortafuegos y VPN, controles administrativos y de acceso, procedimientos de manejo de datos, pruebas continuas de postura de seguridad y documentación, así como controles físicos como acceso biométrico, deben tenerse en cuenta. Si una herramienta o enfoque resulta inadecuado, otra estará disponible para respaldar la defensa. De ahí proviene el nombre de defensa en profundidad, que asegura que los sistemas de las empresas no dependan de un único punto de falla, protegiendo así contra interrupciones totales en caso de mal funcionamiento de un componente.
El principio clave es que estos tres niveles deben trabajar de forma conjunta: si la prevención falla, la detección puede identificar la amenaza; si la detección también falla, una respuesta sólida puede limitar el daño. Se trata de una solución dinámica y no estática. El objetivo de los equipos de ciberseguridad es crear un ecosistema activo y reactivo que pueda ser evaluado y adaptado fácilmente. Las medidas de reportes y los protocolos de prueba regulares son indispensables para cualquier estrategia de ciberseguridad, especialmente para la defensa en profundidad, que implica una amplia variedad de herramientas y procesos que son fáciles de perder de vista. Lo que funciona hoy puede no ser efectivo mañana, especialmente ante los rápidos avances en amenazas cibernéticas de IA.
Para que el enfoque de defensa en profundidad tenga éxito, los equipos de ciberseguridad deben seleccionar sus herramientas de forma cuidadosa y estratégica. La diversidad de herramientas es clave para establecer esta defensa. Si bien la IA se ha vuelto esencial en cada estrategia de ciberseguridad, sería poco prudente confiar únicamente en software de IA, ya que todos podrían ser vulnerables a los mismos tipos de ataques, como los ataques adversariales, que implican proporcionar datos incorrectos para inducir un comportamiento erróneo.
Las estrategias diversas de ciberseguridad ayudan a prevenir que los atacantes aprovechen una única vulnerabilidad del sistema, ralentizando incluso los ataques habilitados por IA, de manera que puedan ser identificados y eliminados antes de que los sistemas sean comprometidos. Por ejemplo, las prácticas de protección de datos deben incluir no solo cifrado, sino también refuerzos adicionales como herramientas de prevención de pérdidas de datos, así como procesos para respaldo y recuperación de datos.
Además, las empresas deben utilizar la mayor cantidad posible de sus propios datos al formar su defensa de ciberseguridad para crear herramientas de IA personalizadas capaces de identificar de forma más efectiva comportamientos inusuales de usuarios o actividad en la red que una herramienta de IA externa. Por supuesto, las herramientas deben seleccionarse de acuerdo con el sistema y las operaciones de la empresa; por ejemplo, aquellas con servicios en línea críticos pueden implementar más defensas contra ataques DDoS.
La capacitación del personal es también crucial. Educar a los usuarios del sistema sobre la importancia de la protección de datos y la autenticación es esencial. Una herramienta de monitoreo de red puede detectar una amenaza, pero la educación del usuario y los procesos fortalecerán la diligencia en la protección de datos de credenciales, por ejemplo, evitando contraseñas compartidas y fomentando el uso de inicios de sesión únicos o autenticación de dos factores, lo que resulta en un menor acceso no autorizado para los atacantes.
Los equipos de ciberseguridad deben planificar para todos los escenarios posibles, incluidas nuevas o optimizadas amenazas que han sido mejoradas por la IA o por otras tecnologías emergentes. Es crucial que se proporcionen los recursos necesarios para investigar posibles amenazas desconocidas y mantenerse al día con los desarrollos y riesgos emergentes en la industria.
La conclusión más importante es que, aunque ninguna medida de seguridad es completamente infalible, la defensa en profundidad ofrece un nivel de redundancia y resiliencia que dificulta considerablemente que un atacante logre penetrar en el sistema, lo que permite que las empresas no se sientan impotentes frente a estas amenazas. Cuantas más organizaciones adopten esta filosofía de defensa, más complicado se vuelve para los actores de amenazas explotar los datos de las empresas y sus clientes.