Hace tan solo unos meses hablábamos en este blog de lo que puede hacer la IA por la ciberseguridad de las pymes. Comentamos que la inteligencia artificial puede jugar un papel relevante en la detección de amenazas por su capacidad de analizar grandes cantidades de datos en tiempo real. También puede realizar automáticamente la labor de identificar vulnerabilidades en la seguridad de la pyme.
Pero hoy toca hablar de la otra cara de la moneda. Como casi cualquier tecnología, la inteligencia artificial está al servicio de las pymes y los autónomos. Pero la IA también puede ser el germen de amenazas de ciberseguridad, en manos de quienes tienen previsto lucrarse atentando contra las empresas. Como cualquier otro, un sector que puede verse afectado es el del ecommerce.
Verificación de contenidos: la IA contra la IA
Es cierto que, en primera instancia, pensamos que las amenazas más importantes contra la ciberseguridad de una empresa están relacionadas con el robo de información, por ejemplo, mediante técnicas de phishing. Pero es obligatorio mencionar el peligro que supone la generación de contenido falso por parte la IA generativa, tanto texto como deepfakes (archivos de vídeo, audio o imagen).
Por un lado, esta clase de falso contenido podría generar una crisis reputacional en una empresa, ayudando a difundir información maliciosa, por ejemplo, sobre falsos resultados empresariales, poniéndolos en boca (supuestamente) de un responsable de la organización. Pero también puede servir para robar información o generar otra clase de daño grave dentro de una empresa.
Como mencionan en la web de CiberSafety, la IA puede permitir crear un vídeo falso en el que un supuesto compañero, o incluso un directivo de la organización, te pide información confidencial o que acometas una acción, como realizar una transferencia. Es lo que los expertos denominan un ataque de ingeniería social.
La solución, aseveran en CiberseguridadPYME, pasa en gran medida por la concienciación y la formación dentro de las organizaciones sobre el problema. Y como complemento, combatir al enemigo con su misma moneda. Es decir, usar herramientas de software de verificación de contenido impulsadas con IA. Pero esto es una ayuda, un filtro, por eso, es tan importante la educación sobre el riesgo dentro de la empresa. La verificación de las fuentes nos ayudará a evitar más de un disgusto grave en clave de ciberseguridad.
La inteligencia artificial y el malware
Por si algún lector no está familiarizado con el concepto de malware, recordemos que estamos hablando de cualquier software malicioso que pueda dañar o controlar un sistema o un dispositivo, y eliminar o robar datos. Uno de los malwares más conocidos son los virus.
La empresa DataSunrise, especialista en la seguridad de datos, explica que un malware creado (o potenciado) con IA generativa y machine learning puede ser mucho más peligroso que los que conocíamos hasta ahora. Gracias a estas tecnologías disruptivas, los malwares “evolucionan continuamente: aprenden de los intentos de detección y ajustan su comportamiento para evadir los sistemas de seguridad”.
Y de nuevo la defensa, o al menos parte de ella, pasa por el concepto de la IA contra la IA. Aunque también toca insistir en la formación y la concienciación, ya que detrás de la mayor parte de las brechas de datos causadas por campañas de phishing está el fallo humano. Por suerte, también contamos con sistemas de ciberseguridad impulsados por IA que se basan en el análisis de cambios en los patrones de actividad y en el aprendizaje adaptativo.
Protegiendo a la IA de la IA
Hemos citado a la inteligencia artificial como potenciador, tanto de los ataques recibidos como de las barreras de ciberseguridad de la empresa. Pero estamos hablando de un triángulo en el que la IA ocupa tres esquinas, ya que también puede ser, lo es de hecho, víctima de los ataques.
Desde Microsoft Security identifican tres tipos de ataques que la IA generativa de una empresa puede recibir: de envenenamiento, de evasión y de inyección inmediata. Identifican también tres desafíos a los que se enfrentan las organizaciones en un contexto en el que, cada vez en mayor medida, la IA generativa “se integra en los flujos de trabajo empresariales”.
Las aplicaciones de inteligencia artificial están en gran medida en la nube, lo que supone una primera vulnerabilidad. La segunda es que la IA generativa maneja gran cantidad de datos; esto es su punto fuerte, pero también aumenta el riesgo de su filtración. Y el tercer desafío es lo impredecible del comportamiento de los modelos de IA.
Falsas tiendas online hechas por IA
Tal y como explican en la web de Panda Security, el impulso que ha dado la inteligencia artificial a este problema es que, donde antes había copias de webs un tanto burdas, ahora hay tiendas virtuales impulsadas por IA generativa casi indistinguibles de las reales. Al fraude por phishing (tú dabas tus datos de acceso al pensar que era una web real) se unen nuevos peligros, como el scraping de tarjetas de crédito u otros datos.
En definitiva, las empresas de ecommerce, como en otros sectores, pueden ver comprometida su ciberseguridad a causa de ataques potenciados por IA. Si bien es cierto que las falsas tiendas online es un tipo de fraude que afecta directamente a aquellos internautas que compran productos y servicios online, las organizaciones pueden enfrentarse a problemas de reputación, ya que muchos de estos comercios electrónicos fake suplantan los de marcas reconocidas.
Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.