Nuevos actores y herramientas se incorporan a la guerra de la seguridad en internet

El juego de la ciberseguridad sigue siendo el mismo: defenderse de un ej¨¦rcito fantasma ¨¢vido de datos y sistemas con los que extorsionar, defraudar, robar, manipular o alterar instituciones y personas. Pero el tablero est¨¢ cambiando. Atacantes soportados por Estados emergentes que hasta ahora no eran significativos se van incorporando y la hiperconexi¨®n de empresas y usuarios con un entorno cada vez m¨¢s digitalizado deja miles de frentes abiertos ¡ªprincipalmente infraestructuras cr¨ªticas, educativas y sanitarias¡ª, en los que ya no valen las defensas cl¨¢sicas. Y tambi¨¦n hay nuevas reglas. Defensores y atacantes ya no tiene un dado de caras limitadas que condicionan sus estrategias. La inteligencia artificial (IA) se ha sumado para aportar una herramienta vers¨¢til, mutante y adaptable, capaz de multiplicar las opciones del juego.

A principios de este mes, la empresa de aguas de Sevilla (Emasesa), con m¨¢s de un mill¨®n de usuarios, envi¨® est¨¢ advertencia: ¡°Emasesa [la empresa de aguas de Sevilla con m¨¢s de un mill¨®n de usuarios] ha detectado intentos de suplantaci¨®n de identidad mediante el env¨ªo de correos electr¨®nicos falsos dirigidos a algunos de sus proveedores. En estos correos, ciberdelincuentes se hacen pasar por empleados de la compa?¨ªa, generalmente del ¨¢rea Financiera o de Contrataci¨®n, con el objetivo de: obtener informaci¨®n sobre facturas o pagos pendientes, suplantar al proveedor para desviar pagos leg¨ªtimos a cuentas fraudulentas y exigir pagos por conceptos falsos, como anuncios vinculados a licitaciones adjudicadas¡±.

Es un ejemplo de la situaci¨®n actual. Cada semana bancos, entidades de cr¨¦dito y todo tipo de instituciones env¨ªan advertencias similares. La hiperconexi¨®n, con proveedores, usuarios y estructuras internas dependientes de plataformas digitales, hace que cada interacci¨®n, aunque sea con un simple correo o con un aparato conectado, sea una potencial puerta de entrada donde caza la inteligencia artificial. ¡°La irrupci¨®n de la IA como herramienta tanto de defensa como de ataque ha modificado la ciberseguridad para siempre. Adem¨¢s, el continuo aumento y aceleraci¨®n del internet de las cosas supone que todo es inteligente: tu reloj, tu frigor¨ªfico, tu tostadora, todo. Estas son las dos cosas fundamentales que creo que han cambiado y contin¨²an cambiando¡±, resume Rupal Hollenbeck, presidenta saliente de Check Point durante el encuentro internacional celebrado en Viena (CPX).

Los atacantes, que cada vez dejan menos rastros, aprovechan la ¡°complejidad e interdependencia de las cadenas de suministro globales¡± para explotar las vulnerabilidades, por lo que ¡°los proveedores externos [especialmente de infraestructuras cr¨ªticas] se han convertido en una v¨ªa para los ataques a la cadena de suministro¡±, seg¨²n advierte el Foro Econ¨®mico Mundial (FEM) en su Global Cybersecurity Outlook 2025.

El departamento de investigaci¨®n de la compa?¨ªa de ciberseguridad Check Point precisa que son los sectores de educaci¨®n (+75%) y salud (+47%), por su ingente, disperso e irregularmente protegido n¨²mero de usuarios y proveedores, los m¨¢s afectados por ¡°un notable aumento en los ataques de ransomware [secuestro y extorsi¨®n]¡±. Google, con otra de las mayores divisiones de ciberdefensa (Mandiant) tambi¨¦n se?ala un aumento del 50% en los ataques a centros sanitarios a?o a a?o. ¡°El impacto de estos deben ser tomados en serio como una amenaza a la seguridad nacional, sin importar la motivaci¨®n de los actores detr¨¢s de ellos¡±, advierte Mandiant en un informe desvelado este mi¨¦rcoles.

Lo confirma Hollenbeck: ¡°Los piratas inform¨¢ticos atacan muy inteligentemente esas industrias donde hay grandes cantidades de datos ciudadanos y ¨¢reas donde residen las poblaciones m¨¢s vulnerables. La gente cree que los servicios financieros deben ser la industria m¨¢s atacada porque pensamos que es donde est¨¢ el dinero, pero la mejor manera de piratear y obtener informaci¨®n es a trav¨¦s de los sistemas que tienen los datos m¨¢s amplios de los ciudadanos. Una vez que los tienes, puedes ir a atacar su cuenta bancaria, otras instituciones m¨¢s grandes y luego, por supuesto, los servicios financieros¡±

Cambio de estrategia

¡°Ya no se trata solo de alcanzar o reaccionar a las amenazas¡±, explica Dan Karpati, vicepresidente de tecnolog¨ªas de IA en Check Point. La situaci¨®n actual, el cambio de reglas que ha impuesto la incorporaci¨®n de la IA al mundo hiperconectado, exige otra estrategia: la ciberseguridad aut¨®noma, aprovechar las capacidades de esta herramienta para monitorizar, prevenir y actuar desde cualquier punto de la malla de la red (hybrid mesh) de forma permanente en microsegundos. ¡°Poner la fuerza donde se necesita en cada momento¡±, resume Nataly Kremer, jefa de producto en la misma compa?¨ªa.

El gran salto de la IA para convertirse en arma de ataque y defensa es su capacidad de programar, de escribir el c¨®digo para que la m¨¢quina ejecute una acci¨®n a partir de un simple comando de voz o por aprendizaje propio del sistema. ¡°Esto es realmente muy poderoso tanto para el lado bueno como el malo¡±, advierte Karpati.

Para los malos, la IA permite, a coste casi cero y con muchas menos habilidades que hace dos a?os, lanzar campa?as masivas de phishing [mensajes o c¨®digos QR falsos] hiperrealistas, deefakes [falsedades indetectables] y suplantaci¨®n de identidad. Para los buenos, las nuevas habilidades de los sistemas abren la senda a los agentes de seguridad, robots que planifican y ejecutan soluciones complejas en nombre del usuario, con la m¨ªnima intervenci¨®n de este y en cualquier momento.

Maher Yamout, analista principal de seguridad en la divisi¨®n GReAT de la empresa Kaspersky, a?ade un elemento m¨¢s: ¡°Los expertos en ciberseguridad deben usar esta herramienta [la IA] con precauci¨®n, asegur¨¢ndose de que su implementaci¨®n no abra nuevas v¨ªas de explotaci¨®n accidentalmente¡±.

Con todas las cautelas, la IA ha revolucionado este sector; puede programar, revisar los c¨®digos de defensa o ataque, llevar a otros elementos de la red a actuar y reprogramarse, simular o revisar en segundos que las tareas respetan las normas internas y externas. Karpati no cree que este horizonte de automatizaci¨®n suponga la eliminaci¨®n del componente humano, que considera clave para la evoluci¨®n de los sistemas.

Vidas en riesgo

Pero en el juego no solo han cambiado las reglas. Al tablero se han incorporado nuevos agentes. ¡°El ¨²ltimo informe de seguridad¡±, seg¨²n detalla Hollenbeck, ¡°detectan un aumento en ciertas ¨¢reas que normalmente han sido desatendidas. Hemos visto un tremendo crecimiento, desafortunadamente, en ?frica y en muchas otras partes emergentes del mundo, como Europa del Este y zonas del sudeste asi¨¢tico y Am¨¦rica Latina, donde hay m¨¢s v¨ªctimas y atacantes¡±, a?ade.

Esta nueva realidad no quiere decir que los antiguos actores y los Estados que los sustentan hayan reducido su actividad. Bitdefender ha publicado recientemente una investigaci¨®n sobre una campa?a activa de Lazarus Group (APT38), vinculado a Corea del Norte, dirigida a organizaciones y dise?ada para robar credenciales y lanzar programas maliciosos a trav¨¦s de falsas ofertas de trabajo de LinkedIn.

Del mismo modo, Mandiant, la divisi¨®n de seguridad de Google, se?ala en su ¨²ltimo informe como los cuatro grandes Estados de la ciberdelincuencia (Rusia, China, Ir¨¢n y Corea del Norte), no solo han recurrido a ella para operaciones de espionaje y desestabilizaci¨®n, sino tambi¨¦n con motivaciones econ¨®micas. Es el caso del grupo APT41, al que le atribuyen el patrocinio chino y que mezclan el secuestro con fines financieros y la recopilaci¨®n de datos para los servicios de inteligencia.

Al igual que Check Point, Mandiant tambi¨¦n resalta el incremento de ataques a infraestructuras cr¨ªticas, tanto de suministros como del ¨¢mbito sanitario y social, con el fin de ¡°erosionar la confianza p¨²blica y desestabilizar servicios esenciales que pueden llegar a costar vidas¡±. En este sentido, el informe de la unidad de Google recuerda un estudio de la Escuela de Salud P¨²blica de la Universidad de Minnesota-Twin Cities (EE UU) que se?ala: ¡°Cuando se produce un ataque de ransomware [que afecta a un centro sanitario], la mortalidad intrahospitalaria [pacientes ya ingresados] aumenta entre un 35% y un 41%¡±.