La inteligencia artificial (IA) está cambiando la forma en que las personas y las organizaciones llevan a cabo muchas actividades, incluida la forma en que los ciberdelincuentes llevan a cabo ataques de suplantación de identidad e imitan el malware. Ahora, los ciberdelincuentes utilizan la inteligencia artificial para generar correos electrónicos de suplantación de identidad, deepfakes y malware personalizados que eluden la detección tradicional al hacerse pasar por la actividad normal de los usuarios y eludir los modelos de seguridad tradicionales. En consecuencia, los modelos basados en reglas por sí solos suelen ser insuficientes para garantizar la seguridad de la identidad frente a las amenazas basadas en la inteligencia artificial. El análisis del comportamiento debe evolucionar más allá de la supervisión de los patrones de actividad sospechosos a lo largo del tiempo y convertirse en modelos de riesgo dinámicos y basados en la identidad capaces de identificar las inconsistencias en tiempo real.

Riesgos comunes que presentan los ataques basados en la IA

Los ciberataques basados en la IA presentan riesgos de seguridad muy diferentes en comparación con las ciberamenazas tradicionales. Al basarse en la automatización e imitar el comportamiento legítimo, la IA permite a los ciberdelincuentes escalar sus ataques y, al mismo tiempo, reducir las señales obvias para que no sean detectadas.

Suplantación de identidad e ingeniería social impulsados por inteligencia artificial

A diferencia de los ataques de suplantación de identidad tradicionales que utilizan mensajes genéricos, La IA permite el phishing personalizado mensajes a gran escala utilizando datos públicos, haciéndose pasar por los estilos de escritura de los ejecutivos o creando mensajes sensibles al contexto que hagan referencia a hechos reales. Estos ataques impulsados por la inteligencia artificial pueden reducir las señales de alerta obvias, eludir algunos enfoques de filtrado y basarse en la manipulación psicológica en lugar de en la entrega de malware, lo que aumenta considerablemente el riesgo de robo de credenciales y fraude financiero.

Abuso automatizado de credenciales y apropiación de cuentas

El abuso de credenciales mejorado por la IA puede optimizar los intentos de inicio de sesión y, al mismo tiempo, evitar que se activen umbrales de bloqueo, ya que imita el tiempo que transcurre entre los intentos de autenticación como el humano y se dirige a las cuentas privilegiadas según el contexto. Dado que estos ataques utilizan credenciales comprometidas, suelen parecer válidas y se combinan con la actividad normal de inicio de sesión, lo que convierte la seguridad de la identidad en un componente crucial de las estrategias de seguridad modernas.

Malware asistido por IA

Antes de que los ciberdelincuentes pudieran usar la IA para acelerar el desarrollo y la implementación del malware, tenían que modificar manualmente las firmas de código y dedicar mucho tiempo a crear nuevas variantes. La IA puede acelerar aún más la variación, la creación de scripts y la adaptación. Con el malware adaptativo moderno, los ciberdelincuentes pueden modificar automáticamente el código para evitar ser detectados, cambiar el comportamiento en función del entorno y generar nuevas variantes de exploits con poco o ningún esfuerzo manual. Dado que los modelos de detección tradicionales basados en firmas luchan contra la evolución continua del código, las organizaciones deben empezar a confiar en patrones de comportamiento en lugar de en indicadores estáticos.

Cómo la monitorización conductual tradicional puede fallar contra los ataques basados en la IA

La supervisión tradicional se diseñó para detectar las ciberamenazas impulsadas por el malware, las vulnerabilidades de seguridad conocidas y las anomalías de comportamiento visibles. Estas son algunas de las maneras en las que la monitorización conductual tradicional no responde a los ataques basados en la IA:

  • La detección basada en firmas no puede identificar las amenazas modernas: Las herramientas basadas en firmas se basan en señales conocidas de compromiso. El malware asistido por IA reescribe constantemente su propio código y genera automáticamente nuevas variantes, lo que hace que las firmas de código estáticas queden obsoletas.
  • Los sistemas basados en reglas se basan en umbrales predefinidos: Muchos sistemas de monitoreo del comportamiento dependen de reglas, como la frecuencia de inicio de sesión o la ubicación geográfica. Los ciberdelincuentes asistidos por inteligencia artificial ajustan su comportamiento para mantenerse dentro de los límites establecidos, realizando actividades malintencionadas durante un período de tiempo más prolongado e imitando el comportamiento humano para evitar ser detectados.
  • Los modelos basados en el perímetro fallan cuando se trata de credenciales comprometidas: Los modelos de seguridad tradicionales basados en el perímetro asumen la confianza una vez que se autentica un usuario o un dispositivo. Cuando los ciberdelincuentes se autentican con credenciales legítimas, estos modelos anticuados los tratan como usuarios válidos, lo que les permite llevar a cabo acciones malintencionadas.
  • Los ataques basados en la IA están diseñados para que parezcan normales: Las ciberamenazas basadas en la IA se mezclan intencionadamente al operar dentro de los permisos asignados, seguir los flujos de trabajo previstos y ejecutar sus actividades de forma gradual. Si bien la actividad aislada puede parecer legítima, el principal riesgo es cuando la actividad se considera en conjunto con el contexto conductual a lo largo del tiempo.

Por qué el análisis del comportamiento debe cambiar para los ataques basados en la IA

El cambio a la analítica conductual moderna requiere una evolución desde la simple detección de amenazas a un modelo de riesgo dinámico y sensible al contexto, capaz de identificar el uso indebido sutil de privilegios.

Los ataques basados en la identidad requieren contexto

Para que parezcan normales, los ciberdelincuentes impulsados por la IA suelen utilizar credenciales comprometidas mediante suplantación de identidad o abuso de credenciales, trabajan desde dispositivos o redes conocidas y llevan a cabo actividades malintencionadas a lo largo del tiempo para evitar ser detectados. Los análisis del comportamiento modernos deben evaluar si el más mínimo cambio de comportamiento es coherente con los patrones de comportamiento típicos de un usuario. Los modelos de comportamiento avanzados establecen puntos de referencia, evalúan la actividad en tiempo real y combinan la identidad, el dispositivo y el contexto de la sesión.

La supervisión debe extenderse a todo el conjunto

Una vez que los ciberdelincuentes acceden a los sistemas mediante credenciales comprometidas, débiles o reutilizadas, se centran en ampliar gradualmente su acceso. La visibilidad del comportamiento debe cubrir todos los aspectos de seguridad, incluidos el acceso privilegiado, la infraestructura en la nube, los puntos finales, las aplicaciones y las cuentas administrativas. Para que el análisis del comportamiento sea más eficaz contra los ciberataques basados en la inteligencia artificial, las organizaciones deben aplicar una seguridad de confianza cero y asumir que ningún usuario o dispositivo debe tener una autenticación automática o de confianza implícita en función de la ubicación de la red.

Las personas con información privilegiada malintencionadas pueden usar herramientas de inteligencia artificial

Las herramientas de inteligencia artificial no solo empoderan a los ciberdelincuentes externos, sino que también facilitan a los intrusos malintencionados actuar dentro de la red de una organización. Las personas con información privilegiada malintencionadas pueden usar la inteligencia artificial para automatizar la recolección de credenciales, identificar información confidencial o generar contenido de suplantación de identidad creíble. Dado que las personas con información privilegiada suelen operar con permisos legítimos, detectar el uso indebido de privilegios requiere identificar anomalías de comportamiento, como el acceso más allá de las responsabilidades definidas, la actividad fuera del horario laboral normal y la actividad repetida en sistemas críticos. Eliminar el acceso permanente mediante la imposición del acceso justo a tiempo (JIT), la supervisión y el registro de las sesiones ayuda a las organizaciones a limitar la exposición y a reducir el impacto de las cuentas comprometidas y el uso indebido de información privilegiada.

Proteja las identidades contra los ciberataques autónomos basados en la IA

En un momento en que los agentes de IA pueden crear campañas de ingeniería social convincentes, probar las credenciales a escala y reducir el esfuerzo práctico necesario para ejecutar ataques, los ciberataques basados en la IA se automatizan cada vez más. La protección de las identidades humanas y no humanas (NHI) ahora requiere algo más que la autenticación; las organizaciones deben implementar controles de acceso granulares y análisis del comportamiento continuos y sensibles al contexto. Las soluciones modernas de administración de acceso privilegiado (PAM), como Guardián consolide el análisis del comportamiento, la supervisión de las sesiones en tiempo real y el acceso a JIT para proteger las identidades en entornos híbridos y multinube.

Nota : Ashley D'Andrea, redactora de contenido de Keeper Security, ha escrito cuidadosamente y ha contribuido a este artículo para nuestra audiencia.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.