Un mayor uso de herramientas de inteligencia artificial generativa, Telegram como la plataforma para promocionar servicios de cibercriminales y el reinado absoluto del phishing son las tres tendencias del ciberdelito que se pudieron ver durante este año y que parecen estar en crecimiento para 2024.
“No tratamos de hacer futurología, sino que el objetivo es mirar tendencias en 2023 y ver qué podemos conjeturar para el año que viene”, aclaró Martina López, investigadora de ESET, en el Foro de Seguridad Informática de ESET Latinoamérica, una conferencia que realiza la empresa de ciberseguridad eslovaca desde hace ocho años en distintas locaciones de América Latina. Este año se realiza en Punta del Este, Uruguay.
Hecha esta aclaración, la especialista, junto a su colega Mario Micucci, desarrolló los tres puntos principales que hicieron ruido durante este año, con la inteligencia artificial de herramientas como Chat GPT o Stable Difussion a la cabeza, algunas innovaciones y viejas técnicas ya conocidas, pero bajo distintos ropajes.
Acá, un repaso por cada una de ellas de la mano de los expertos.
Chat GPT y la IA generativa
El uso de la inteligencia artificial generativa tomó al mundo por asalto desde fines del año pasado, cuando el chatbot Chat GPT masificó el uso de “prompts”, es decir, “un set de instrucciones” para interactuar con chatbots en lenguaje natural, explicó Mario Micucci. “Hacia dónde vamos con la tecnología de Chat GPT todo indica que se va a incrementar su uso en las distintas áreas de conocimiento”, arriesgó en una de las primeras charlas del martes.
Esto conlleva distintos riesgos en torno al uso malicioso que pueda hacerse de estas herramientas, que se han implementado para la escritura de código fuente malicioso para realizar ataques. En este campo, cada vez es más fácil para un atacante acceder a herramientas de IA y entrenar al modelo con fines maliciosos (“envenenamiento” o poisoning), o bien intervenir en afectar las predicciones de un modelo.
López agregó otra arista importante: el uso de los datos personales que hacen estas aplicaciones. “Cada vez que interactuamos con la herramienta estamos impulsando a que tenga mejoras. Pero si en materia de privacidad se preguntaron a dónde va todo lo que escriben en Chat GPT, es para pensarlo en relación a la privacidad, que es un planteo que vamos a ver mucho de cara al año que viene”, reflexionó.
“Se esperan grandes desafíos en materia de regulación, privacidad y derechos. No es lo mismo hablar de esta herramienta en Latinoamérica que en Europa, y hasta hay casos a nivel mundial donde se restringe su uso. Lo que es un hecho es que la herramienta ha llegado para quedarse”, aseguró Micucci.
En este sentido, Fabiana Ramírez Cuenca, investigadora de ESET Latinoamérica, citó casos como el de Chile, donde hay un proyecto de ley de una política nacional de IA para controlar su uso, o el de Colombia que tiene un marco ético para la IA (de 2022). Argentina tiene una disposición con recomendaciones para una IA fiable, pero no es vinculante (disposición 2/2023) y apunta al resguardo de los sectores vulnerables.
“La mayoría de los países están tratando proyectos o regulando desde cero, a partir de que la Unión Europea hizo su ley GDPR, pero ninguna menciona o abarca la cuestión de la inteligencia artificial. Ahí hay una diferencia entre la velocidad con la que avanza la tecnología y la de las legislaciones: estamos afrontando estos desafíos pero aún no están resueltos”, cerró Ramírez Cuenca.
2024 será un año clave para este tipo de desafíos legales y las consecuencias que puedan tener en el mundo del malware, las ciberestafas y la privacidad, coinciden los expertos.
Telegram, mercado negro al alcance de la mano
Otro de los puntos destacados en el primer día del foro tuvo que ver con el uso extendido de Telegram como un bazar para el cibercrimen. “Es más sencillo de usar que la dark web, es más rápido que redes como Tor y está al alcance de todos”, explicó Micucci.
Esto es un problema grave, debido a la poca regulación que tiene el servicio de mensajería, donde diversos canales ponen en venta credenciales de acceso de entidades públicas, promueven software para realizar ataques y también funcionan de intermediarios incluso para crimen generalizado.
Allí no sólo se compran y venden datos personales, sino también accesos y combolists (combinaciones de usuarios y contraseñas de servicios).
En este sentido, la aplicación, que promete seguridad y anonimato (y esto “es relativo”, advirtió Micucci), se transformó en un centro de distribución para cibercriminales a través de los “canales de difusión”, que no están regulados.
Phishing, el rey del engaño
Una de las amenazas que sigue más latente que nunca es el phishing, el método por el cual los atacantes buscan engañar a las personas para que revelen su información personal y confidencial, ya sean contraseñas, números de tarjetas de crédito o información bancaria.
“Hay que pensar en la cantidad de aplicaciones que usamos hoy: cada usuario creado, cada mail, cada imagen subida, cada tuit. Todo tiene un impacto en la amplitud de lugares en la que un cibercriminal puede realizar un ataque”, explicó Martina López en una de sus charlas. Esto es lo que se conoce como la ampliación de la superficie de ataque en la jerga técnica.
En diálogo con este medio, explicó: “El phishing tuvo una vuelta de tuerca en el mercado del ciberdelito, que es ofrecerse como un servicio. Es de muy fácil acceso, se paga por el uso y los desarrolladores incluso personalizan las herramientas para sus ‘clientes’”.
Además, sigue siendo muy efectivo por el volumen que se puede manejar. “Hoy por hoy los envíos normales de phishing se rigen por el orden de los 100 mil para arriba. Se compran las bases de datos de los correos electrónicos -en Argentina hay una muy conocida de hecho con 3 millones de correos– y sobre eso se envían estos correos apócrifos”, agregó.
En este caso, la estructura de estos ataques sigue siendo la misma: elegir un objetivo, inducirlo al engaño y apelar a la emocionalidad y la urgencia (hacer algo con velocidad, por ejemplo, para evitar el presunto bloqueo de una cuenta). Los vectores de propagación siguen siendo el correo electrónico y las redes sociales, pero durante los últimos años crecieron mucho los ataques a través de las aplicaciones de mensajería como WhatsApp.
En este caso, el dato que arrojó ESET es que, durante 2023, hubo cerca de 50 mil detecciones diarias de phishing en todo Latinoamérica. “Los troyanos genéricos, la segunda detección, no se le acercan ni por casualidad al phishing. Por cada código malicioso que detecta el sistema de ESET, detectamos 2 o más correos de phishing”, explicó López.
Acá es importante aclarar qué significa “detecciones”, en tanto las empresas que se dedican ciberseguridad e inteligencia suelen difundir cifras que, sin contexto, pueden ser poco precisas o aportar información que se da de forma absoluta cuando, en realidad, es relativa.
“En general, las empresas se basan en la telemetría de los clientes. Por eso se habla de detecciones y no de infecciones: si evalúo lo que veo en los clientes, son intentos de infección. Lo que las empresas de seguridad hacen es hablar de tendencias en materia de detección”, aclaró en diálogo con Clarín Camilo Gutiérrez, analista de seguridad de la empresa.
Por último, a todo esto se le agrega la dificultad de los desarrollos con inteligencia artificial, que a partir de los deepfakes y el poder de cómputo permiten generar imágenes, mensajes de voz o hasta videos que pueden inducir al engaño.
Malware como commodity
Otro punto que trataron los expertos en cuanto a tendencias tuvo que ver con el malware (programas maliciosos) como commodity. “Se tratan de amenazas disponibles por pocos centavos de dólar o incluso gratuitas, algunas son de código abierto que pueden encontrarse en GitHub de manera completa”, explicó López.
“Se usan principalmente para exfiltrar información, capturar información del micrófono, capturar la webcam, buscar servidores activos dentro del equipo de trabajo, buscar nombres de archivos que puedan contener información sensible. Hasta tienen sistemas de reportes y trackeo de bugs y se actualizan regularmente”, agregó.
En América Latina, la tendencia a este tipo de usos de herramientas maliciosas fue fuerte en 2023: Operación Absoluta en febrero (Colombia), Operación Guinea Pig en abril (México) y el troyano njRAT en Ecuador en agosto, son algunos de los casos que nombraron los expertos.
El riesgo es que son muy fáciles de configurar y por esto los ciberatacantes pueden contratarlos. Para tener dimensión, esta semana se conoció que la policía de Malasia desmanteló una de las plataformas de Phishing como servicio (PhaaS, por su sigla en inglés) más grandes del mundo, que tenía más de 8 mil usuarios registrados y se podía contratar para imitar más de 320 marcas para engañar usuarios.
Con un total de once charlas y dos demostraciones, el primer día del Foro de Seguridad Informática de ESET Latinoamérica en Punta del Este cerró cerca de las 5 y media de la tarde.
ESET es una empresa de ciberseguridad fundada hace 36 años en Eslovaquia, reconocida mundialmente por sus sistemas de detección y protección online, popularmente conocidos como antivirus. Nod y Nod32 fueron quizás sus productos más conocido, instalados en millones de computadoras en todo el mundo.
Es el proveedor más grande de Europa y apunta principalmente al sector de pequeñas y medianas empresas y a usuarios finales. Tiene una sede de operaciones regional en Buenos Aires, donde trabajan cerca de 90 personas.