¿Los delincuentes ya usan IA en toda la Cyber Kill Chain?
Tabla de contenidos
El uso de IA en toda la Cyber Kill Chain incrementa la capacidad de los actores maliciosos de lanzar ciberataques contra las empresas
Millones de profesionales y empresas usan sistemas de Inteligencia Artificial en su día a día. La IA está permitiendo a las compañías automatizar un amplio abanico de acciones que antes requerían tiempo y esfuerzo.
A nadie se le escapan ya las ventajas a nivel de productividad y rentabilidad que trae consigo la Inteligencia Artificial, también en ámbitos como el de la ciberseguridad.
Sin embargo, no se pueden obviar, tampoco, los riesgos de seguridad de la IA, así como el uso pernicioso de esta tecnología para lanzar ataques contra organizaciones.
Al igual que millones de profesionales usan sistemas de IA para mejorar su productividad, los actores maliciosos emplean estas mismas tecnologías como un arma para llevar sus ataques un paso más allá. El desafío para las empresas es evidente: la IA amplifica la escala, velocidad y sofisticación del cibercrimen.
De hecho, los expertos en ciberseguridad ya están alertando sobre el uso de IA en toda la Cyber Kill Chain, es decir, en el ciclo de vida de un ciberataque.
¿Cómo pueden las empresas y los expertos en ciberseguridad acometer el desafío que supone el uso de IA en toda la Cyber Kill Chain?
1. Las 7 fases de la Cyber Kill Chain
La Cyber Kill Chain es un framework desarrollado por Lockheed Martin, uno de los grandes contratistas de defensa del mundo, para facilitar la investigación, prevención y gestión de los incidentes de seguridad.
Así, mediante la Cyber Kill Chain los expertos en ciberseguridad pueden sistematizar las acciones y las fases de los ataques. Al igual que sucede, por ejemplo, con el framework MITRE ATT&CK que facilita la comprensión y el análisis de las técnicas, tácticas y procedimientos de los actores hostiles.
¿Qué queremos decir al hablar de que los delincuentes están usando IA en toda la Cyber Kill Chain? Que le están sacando partido a esta tecnología a la hora de implementar todas las fases de un ataque:
- Reconocimiento.
- Armamento.
- Distribución.
- Explotación.
- Instalación.
- Comando y control.
- Acciones.
De hecho, algunos investigadores han constatado el uso de soluciones de IA para realizar el reconocimiento de las víctimas, escalar privilegios dentro de sistemas corporativos, ocultar la presencia de malware o robar datos.
Además, a través de la investigación en foros en la Dark Web, se ha comprobado que los actores de amenazas están interesados en usar IA en toda la Cyber Kill Chain. Desde recopilar inteligencia sobre las víctimas, hasta la capacidad de persistir pasando desapercibidos, pasando por la creación de textos y recursos para llevar a cabo fraudes o la creación de deepfakes.
2. La IA ha revolucionado el mundo de los fraudes
Precisamente, en los últimos tiempos han aumentado las alertas sobre la realización de fraudes con Inteligencia Artificial.
Los actores maliciosos están empleando sistemas de IA generativa para escribir mensajes veraces en cualquier idioma o realizar deepfakes de sonido, imagen y video para suplantar la identidad de personas y empresas y lograr engañar a sus víctimas.
Si el responsable de la gestión económica de una empresa recibe una videollamada del CEO de la compañía ordenándole realizar una transferencia… ¿Por qué iba a desconfiar de la veracidad de la orden?
El conjunto de la ciudadanía es cada vez más desconfiado con respecto a los emails, los SMS o las llamadas que recibimos. Esto supone un problema para los actores que usan técnicas de ingeniería social para realizar fraudes digitales contra ciudadanos o atacar a empresas y administraciones públicas.
Sin embargo, el uso de IA para realizar deepfakes extraordinariamente realistas dificulta la capacidad de ciudadanos, profesionales y empresarios de detectar que están siendo víctimas de fraudes.
De hecho, el uso de IA en toda la Cyber Kill Chain conlleva que no solo se emplee en la fase de distribución, sino que esta tecnología puede ser usada para recabar toda la información disponible sobre la víctima en internet y realizar una radiografía precisa sobre ella. ¿Con qué fin? Que el fraude sea extraordinariamente preciso y las probabilidades de éxito muy elevadas.
3. Malware desarrollado con IA
A finales de 2024, fue condenado en Japón el primer ciudadano de ese país por desarrollar un ransomware haciendo un uso malicioso de IA generativa. Unos meses antes, se había detectado una campaña de ataques contra industrias alemanas en la que se empleó un dropper cuyo código había sido generado mediante Inteligencia Artificial.
Estos acontecimientos y algunos otros han venido a confirmar la alerta lanzada por el organismo a cargo de la ciberseguridad en el Reino Unido, el National Cyber Security Centre (NCSC). Dicha entidad ha señalado que la IA va a tener un fuerte impacto en la eficacia de las ciberoperaciones y, especialmente, en el auge de los ataques con ransomware.
De hecho, la propia OpenAI, la empresa detrás de ChatGPT, la IA generativa más famosa del mundo, ha reconocido que ha desmantelado decenas de operaciones en las que los delincuentes abusaban de esta IA para desarrollar malware, evadir la detección de los sistemas de seguridad de las organizaciones o realizar fraudes.
Recurrir a la IA para desarrollar malware supone un paso más en el uso de IA en toda la Cyber Kill Chain al convertirla en protagonista en la fase de armamento.
4. La irrupción de malware que usa IA para realizar ataques
Los actores maliciosos no se van a conformar con escribir malware empleando sistemas de IA y van a ir más allá en el uso de IA en toda la Cyber Kill Chain.
Sin ir más lejos, este verano el CERT de Ucrania hizo público que un grupo de amenazas persistentes avanzadas ligado a Rusia (APT28), había recurrido al malware LameHug para atacar a organismos públicos ucranianos. ¿Cuál es el elemento clave de este caso? LameHug usa un gran modelo de lenguaje natural (LLM) para generar comandos en tiempo real que se ejecutan en sistemas Windows comprometidos con el objetivo de robar datos.
De ahí que los expertos en ciberseguridad estén alertando sobre el uso de IA en toda la Cyber Kill Chain y no solo en las primeras fases de la misma.
En la misma línea, en agosto se descubrió la prueba de concepto del ransomware PromptLock que está basado en IA o, para ser más concretos, en un modelo de peso abierto de OpenAI.
El ransomware sería capaz de generar scripts en tiempo real de cara a realizar acciones como el análisis de los archivos del sistema infectado o el cifrado y exfiltración de los datos (lo que vendría a ser la última fase de la Cyber Kill Chain).
Tanto en un caso como en el otro, el malware interactúa con la IA a través de una API.
5. ¿Qué supone la utilización de IA en toda la Cyber Kill Chain?
Lo que venimos de desgranar evidencia que el uso de IA en toda la Cyber Kill Chain puede provocar que el panorama de amenazas al que se enfrentan compañías y administraciones públicas sea más complejo y desafiante:
- Actores maliciosos sin elevados conocimientos ni recursos pueden lanzar ataques dirigidos con un alto nivel de sofisticación.
- El uso de IA en toda la Cyber Kill Chain puede acelerar el desarrollo de los ataques. De tal forma que desde la fase de reconocimiento hasta el cumplimiento de los objetivos pase muy poco tiempo y, por lo tanto, sea más difícil detectar y responder ante un incidente de seguridad en fases tempranas del mismo.
- Las operaciones maliciosas realizadas con IA pueden adaptarse a las medidas defensivas desplegadas por las organizaciones con mayor rapidez. Lo que implica que las compañías tienen que invertir más en ciberseguridad y que los expertos a cargo de la defensa de las empresas deben innovar continuamente para ir por delante de los actores maliciosos.
En resumidas cuentas, la utilización de IA en toda la Cyber Kill Chain obligará a reforzar las estrategias de seguridad de compañías y administraciones públicas para evitar ataques con un nivel de complejidad elevado que pueden causar graves daños económicos, operativos, reputacionales y legales.
6. ¿Cómo pueden las empresas hacer frente al uso de IA en toda la Cyber Kill Chain?
Frente al uso de IA en toda la Cyber Kill Chain, las empresas deben invertir en servicios de ciberseguridad avanzados:
- Threat Hunting. La investigación proactiva de amenazas que usan IA en toda la Cyber Kill Chain es crítica. Los Threat Hunters son capaces de detectar amenazas avanzadas, analizar las técnicas y tácticas más punteras de los actores maliciosos y poner en marcha un enfoque proactivo, asumiendo hipótesis de compromiso, para anticiparse a los atacantes y detectar incidentes incluso antes de que se haya generado un evento de seguridad.
- Red Team. Junto a los servicios de Threat Hunting es esencial contar con servicios de Red Team. De hecho, ambos se retroalimentan y enriquecen. Puesto que la inteligencia generada por los Threat Hunters sobre los actores maliciosos y sus TTPs enriquece los ejercicios de Red Team, ya que permite diseñar y ejecutar escenarios 100% realistas. A su vez, el trabajo llevado a cabo por el Red Team acelera el proceso de aprendizaje continuo de los Threat Hunters y les permite estar a la vanguardia en cuestiones como el uso de IA en toda la Cyber Kill Chain.
- Respuesta a incidentes. Ante el incremento de las operaciones maliciosas y la mayor capacidad para lanzar ataques sofisticados y veloces es crítico contar con un servicio de respuesta a incidentes proactivo. ¿Por qué? Cada segundo cuenta. Si se ha realizado un trabajo de preparación exhaustivo y se puede actuar desde que se detecta el incidente, aumentan las posibilidades de limitar su impacto y expulsar a los actores hostiles con la máxima diligencia.
La relación entre la IA y la ciberseguridad ya está siendo beneficiosa, por ejemplo, al desarrollar sistemas UEBA que son capaces de identificar comportamientos y eventos sospechosos a través del análisis de datos.
Sin embargo, también debemos tener en cuenta que la aplicación de la IA en toda la Cyber Kill Chain supone uno de los grandes retos a los que nos enfrentamos en los próximos años. De ahí que sea fundamental por redoblar los esfuerzos en materia de ciberseguridad y ayudar a los equipos defensivos a desplegar soluciones innovadoras de forma continua.