La Inteligencia Artificial (IA) está cambiando la forma en que las personas y las organizaciones realizan muchas actividades, incluida la forma en que los ciberdelincuentes llevan a cabo ataques de phishing e iteran sobre malware. Ahora, los ciberdelincuentes utilizan la IA para generar correos electrónicos de phishing personalizados, deepfakes y malware que evaden la detección tradicional al hacerse pasar por la actividad normal del usuario y eludir los modelos de seguridad heredados. Como resultado, los modelos basados en reglas por sí solos suelen ser insuficientes para la seguridad de la identidad contra las amenazas habilitadas por la IA. El análisis de comportamiento debe evolucionar más allá del monitoreo de patrones de actividad sospechosas a lo largo del tiempo hacia un modelado de riesgos dinámico, basado en identidad, capaz de identificar inconsistencias en tiempo real.
Riesgos comunes introducidos por los ataques habilitados por IA
Los ciberataques basados en IA introducen riesgos de seguridad muy diferentes en comparación con las ciberamenazas tradicionales. Al confiar en la automatización e imitar el comportamiento legítimo, la IA permite a los ciberdelincuentes escalar sus ataques y, al mismo tiempo, reducir las señales obvias para pasar desapercibidas.
Phishing e ingeniería social impulsados por IA
A diferencia de los ataques de phishing tradicionales que utilizan mensajes genéricos, la IA permite mensajes de phishing personalizados a escala utilizando datos públicos, suplantando los estilos de escritura de los ejecutivos o creando mensajes contextuales que hacen referencia a eventos reales. Estos ataques impulsados por IA pueden reducir las señales de alerta obvias, eludir algunos enfoques de filtrado y depender de la manipulación psicológica en lugar de la entrega de malware, lo que aumenta significativamente el riesgo de robo de credenciales y fraude financiero.
Abuso de credenciales automatizado y apropiación de cuentas
El abuso de credenciales mejorado por IA puede optimizar los intentos de inicio de sesión y al mismo tiempo evitar activar umbrales de bloqueo, imitando el tiempo humano entre intentos de autenticación y apuntando a cuentas privilegiadas según el contexto. Dado que estos ataques utilizan credenciales comprometidas, a menudo parecen válidos y se mezclan con la actividad de inicio de sesión normal, lo que hace que la seguridad de la identidad sea un componente crucial de las estrategias de seguridad modernas.
Malware asistido por IA
Antes de que los ciberdelincuentes pudieran utilizar la IA para acelerar el desarrollo y la implementación de malware, tuvieron que modificar manualmente las firmas de código y dedicar mucho tiempo a crear nuevas variantes. La IA puede acelerar aún más la variación, la programación y la adaptación. Con el malware adaptable moderno, los ciberdelincuentes pueden modificar automáticamente el código para evitar la detección, cambiar el comportamiento según el entorno y generar nuevas variantes de exploits con poco o ningún esfuerzo manual. Dado que los modelos tradicionales de detección basados en firmas luchan contra el código en continua evolución, las organizaciones deben empezar a confiar en patrones de comportamiento en lugar de indicadores estáticos.
Cómo el monitoreo del comportamiento tradicional puede fallar contra los ataques basados en IA
El monitoreo tradicional fue diseñado para detectar amenazas cibernéticas impulsadas por malware, vulnerabilidades de seguridad conocidas y anomalías de comportamiento visibles. Estas son algunas de las formas en las que el monitoreo de comportamiento tradicional se queda corto frente a los ataques habilitados por IA:
- La detección basada en firmas no puede identificar amenazas modernas: Las herramientas basadas en firmas se basan en signos conocidos de compromiso. El malware asistido por IA reescribe constantemente su propio código y genera automáticamente nuevas variantes, lo que hace que las firmas de códigos estáticos queden obsoletas.
- Los sistemas basados en reglas se basan en umbrales predefinidos: Muchos sistemas de seguimiento del comportamiento dependen de reglas, como la frecuencia de inicio de sesión o la ubicación geográfica. Los ciberdelincuentes asistidos por IA ajustan su comportamiento para permanecer dentro de los límites establecidos, realizando actividades maliciosas durante un período de tiempo más largo e imitando el comportamiento humano para evitar ser detectados.
- Los modelos basados en perímetro fallan cuando se trata de credenciales comprometidas: Los modelos de seguridad tradicionales basados en perímetro asumen confianza una vez que se autentica un usuario o dispositivo. Cuando los ciberdelincuentes se autentican con credenciales legítimas, estos modelos obsoletos los tratan como usuarios válidos, lo que les permite llevar a cabo acciones maliciosas.
- Los ataques basados en IA están diseñados para parecer normales: Las ciberamenazas basadas en IA se mezclan intencionalmente operando dentro de los permisos asignados, siguiendo flujos de trabajo anticipados y ejecutando sus actividades gradualmente. Si bien la actividad aislada puede parecer legítima, el principal riesgo surge cuando se considera la actividad en conjunto con el contexto conductual a lo largo del tiempo.
Por qué el análisis del comportamiento debe cambiar para los ataques basados en IA
El cambio hacia el análisis de comportamiento moderno requiere una evolución desde la simple detección de amenazas hacia un modelado de riesgos dinámico y consciente del contexto capaz de identificar el uso indebido de privilegios sutiles.
Los ataques basados en identidad requieren contexto
Para parecer normales, los ciberdelincuentes impulsados por IA suelen utilizar credenciales comprometidas mediante phishing o abuso de credenciales, trabajan desde dispositivos o redes conocidas y llevan a cabo actividades maliciosas a lo largo del tiempo para evitar ser detectados. Los análisis de comportamiento modernos deben evaluar si incluso el más mínimo cambio de comportamiento es coherente con los patrones de comportamiento típicos de un usuario. Los modelos de comportamiento avanzados establecen líneas de base, evalúan la actividad en tiempo real y combinan identidad, dispositivo y contexto de sesión.
El monitoreo debe extenderse a toda la pila
Una vez que los ciberdelincuentes obtienen acceso a los sistemas a través de credenciales comprometidas, débiles o reutilizadas, se centran en ampliar gradualmente su acceso. La visibilidad del comportamiento debe cubrir toda la pila de seguridad, incluido el acceso privilegiado, la infraestructura de la nube, los puntos finales, las aplicaciones y las cuentas administrativas. Para que el análisis de comportamiento sea más eficaz contra los ciberataques basados en IA, las organizaciones deben aplicar una seguridad de confianza cero y asumir que ningún usuario o dispositivo debe tener confianza implícita o autenticación automática basada en la ubicación de la red.
Los iniciados malintencionados pueden utilizar herramientas de inteligencia artificial
Las herramientas de inteligencia artificial no solo fortalecen a los ciberdelincuentes externos, sino que también facilitan que los internos malintencionados actúen dentro de la red de una organización. Los usuarios malintencionados pueden utilizar la IA para automatizar la recolección de credenciales, identificar información confidencial o generar contenido de phishing creíble. Dado que los usuarios internos a menudo operan con permisos legítimos, detectar el uso indebido de privilegios requiere identificar anomalías de comportamiento como el acceso más allá de las responsabilidades definidas, la actividad fuera del horario comercial normal y la actividad repetida dentro de los sistemas críticos. Eliminar el acceso permanente mediante la aplicación del acceso Justo a Tiempo (JIT), el monitoreo y la grabación de sesiones ayuda a las organizaciones a limitar la exposición y reducir el impacto de las cuentas comprometidas y el uso indebido de información privilegiada.
Identidades seguras contra ciberataques autónomos basados en IA
En un momento en que los agentes de IA pueden crear campañas convincentes de ingeniería social, probar credenciales a escala y reducir el esfuerzo práctico necesario para ejecutar ataques, los ciberataques basados en IA se están volviendo cada vez más automatizados. Proteger las identidades humanas y no humanas (NHI) ahora requiere más que autenticación; Las organizaciones deben implementar análisis de comportamiento continuos y contextuales y controles de acceso granulares. Las soluciones modernas de gestión de acceso privilegiado (PAM), como Keeper, consolidan análisis de comportamiento, supervisión de sesiones en tiempo real y acceso JIT para proteger identidades en entornos híbridos y multinube.
Nota: Este artículo fue escrito cuidadosamente y contribuido para nuestra audiencia por Ashley D’Andrea, redactora de contenido de Keeper Security.