¿Cómo está cambiando la ciberseguridad con la IA generativa?

Bienvenidos a Take on Tomorrow, el podcast donde expertos globales se reúnen para explorar cómo las empresas pueden enfrentar los desafíos más grandes del mundo. Soy Lizzie O'Leary, podcaster y periodista en Nueva York.

Y yo soy Ayesha Hazarika, locutora y escritora en Londres. Hoy vamos a hablar sobre cómo la IA generativa está cambiando la ciberseguridad.

Este es un tema que afecta a todos, desde sistemas educativos hasta negocios locales, e incluso la propia identidad. Los ciberataques están en aumento y la IA generativa juega un papel crucial. Organizaciones como el Centro Nacional de Ciberseguridad han advertido que las herramientas de IA están haciendo que los correos electrónicos de phishing sean más sofisticados. Sin embargo, esta tecnología también presenta una gran oportunidad para los defensores. Según la Encuesta Digital Trust Insights 2024 de PwC, casi el 70 % de los altos directivos planean utilizar la IA generativa para la ciberdefensa en el próximo año.

Entonces, ¿cómo pueden los líderes aprovechar con éxito la IA generativa para detectar y protegerse de los ataques? ¿Y qué está en juego para todos nosotros si no prestamos suficiente atención al riesgo? Para descubrirlo, conversamos con Sarah Armstrong-Smith, quien ayuda a los clientes de Microsoft a desarrollar sus estrategias de ciberseguridad. Pero primero, nos acompaña Sean Joyce, líder Global de Ciberseguridad y Privacidad en PwC. Sean. ¡Hola, bienvenido!

Hola, Ayesha. Me alegra estar aquí.

Sean, vemos con frecuencia noticias sobre organizaciones que han sufrido importantes ataques. La gente generalmente sabe que hay un problema, pero hay tantas otras preocupaciones en el mundo en este momento.

Recientemente estuve en Davos, donde el tema fue la reconstrucción de la confianza. Hablamos mucho sobre la palabra "confianza", que a menudo no se entiende completamente. Para mí, se trata de demostrarle a nuestros clientes que somos dignos de esto. Además, la integridad de la marca es crucial. Se evidencian muchos problemas relacionados con la desinformación, algo en lo que las empresas deben centrarse en el espacio cibernético para garantizar una protección adecuada. Por lo tanto, el impacto en los negocios, la confianza del cliente y la integridad de la marca son aspectos clave a los que todas las empresas deben prestar atención.

Sean, más adelante regresamos contigo para explorar cómo las empresas pueden aprovechar la IA generativa para la ciberseguridad. Pero primero, Lizzie, has hablado con alguien que está en la vanguardia de este desafío.

Exactamente. Tuve una conversación con Sarah Armstrong-Smith, asesora jefe de Seguridad en Microsoft para la región EMEA. Estaba especialmente interesada en entender la situación actual de la ciberdelincuencia. Por lo tanto, comencé preguntándole acerca de los tipos de ataques más frecuentes que enfrenta en su trabajo diario.

Creo que es justo decir que más del 80 % de todos los ciberataques comienzan con algún tipo de correo electrónico o mensaje de texto de phishing. De hecho, en los últimos 12 meses, se ha visto un aumento significativo en los ataques basados en la identidad. Para ponerlo en perspectiva, Microsoft bloquea más de 240.000 ataques basados en identidad cada minuto, todos los días. Los atacantes obtienen acceso a contraseñas, buscando abrir múltiples cuentas en minoristas y servicios financieros. Desde ahí, la situación puede empeorar rápidamente. Entonces, la ciberdelincuencia está claramente en aumento.

Si fueras una organización, ya sea pública o privada, ¿cómo te estarías defendiendo contra estos ciberataques?

A pesar de tener la mejor voluntad, tecnología avanzada y formación en concienciación, es crucial reconocer que un actor amenazante podría comprometer tu red y tus datos. En muchos entornos laborales, es común que las personas conserven privilegios excesivos durante años, sin que se les revocan. Esto representa una oportunidad significativa para los atacantes, ya que una vez que obtienen acceso a una cuenta, las posibilidades de explotación son considerablemente altas. Por lo tanto, ¿cómo podemos distinguir entre un usuario comprometido y uno malicioso? El simple hecho de poseer el dispositivo adecuado y las credenciales correctas no es suficiente; es esencial monitorear continuamente las actividades para detectar comportamientos inusuales. Esta práctica es fundamental en la estrategia de seguridad basada en la confianza.

Me interesa saber cómo la IA generativa se integra en este panorama. ¿Se utiliza para facilitar los ciberataques? Por ejemplo, ¿es tan sencillo como pedirle que genere un correo de phishing y luego desplegarlo en múltiples objetivos?

Sí. Es muy interesante cuando hablamos de la IA generativa. Todavía es relativamente nueva. Sólo lleva dos años en el mercado. Por ejemplo, si pensamos en algo como ChatGPT, que existe desde hace poco más de un año, la gente empieza a preocuparse de que la propia máquina esté escribiendo un correo de phishing. Así que es importante que las personas entiendan que la propia máquina no está haciendo nada; es el ser humano el que está detrás haciendo la solicitud.

Definitivamente, los defensores pueden aprovechar esta tecnología. Lo que hace que ChatGPT y la IA generativa sean tan populares y efectivos es su capacidad para responder preguntas simples en cualquier idioma que se esté utilizando. Por ejemplo, si surge una nueva cepa de malware y necesitas entender qué hace el código, cuándo fue introducido y cómo eliminarlo, estas herramientas pueden proporcionar respuestas útiles en tiempo real. Lo importante aquí es cómo esta tecnología aumenta la capacidad humana y la información disponible, no cómo la reemplaza.

Cuando reflexiono sobre el riesgo, sé que tú también lo consideras constantemente. Los ejecutivos empresariales están siempre conscientes de ello al proteger sus organizaciones. Sin embargo, me pregunto si esta conciencia se filtra en la población en general. No se limita únicamente a la formación anual en ciberseguridad, sino a comprender que representa un riesgo más amplio para la sociedad. ¿Crees que esto llega al ciudadano común?

Creo que cada vez más personas están entendiendo la amenaza y su impacto real. La identidad tiene un valor enorme y a menudo no tenemos control sobre quién tiene nuestros datos ni cómo los utilizan. Existe una estadística que indica que el 50 % de las personas nacidas hoy vivirán más de 100 años. Esto implica que a lo largo de sus vidas, múltiples agencias y empresas recopilarán sus datos. Las preguntas que surgen son ¿algunos de estos datos podrían ser incorrectos? ¿Se utilizarán de manera adecuada?

Además, podría sorprender a algunos escuchar que el sector más atacado mes a mes es en realidad el sector educativo. La educación sufre diez veces más ataques que el siguiente sector más afectado, que es el comercio minorista.

Los responsables políticos realmente pueden brindar ayuda significativa a las PYME. Más del 80 % de los ciberataques van dirigidos a estas empresas porque no cuentan con el mismo nivel de seguridad que las grandes corporaciones. Les faltan recursos, conocimientos y capacidad para defenderse adecuadamente. Además, enfrentan dificultades para gestionar crisis cuando ocurren eventos graves.

Vivimos en un mundo peculiar donde debemos proteger no solo a individuos y empresas, sino también a naciones. Esto ha cambiado drásticamente las reglas del juego en términos de colaboración global. Por lo tanto, cuanto más compartamos, colaboremos y difundamos información, más fuertes seremos como comunidad. Esta colaboración beneficiará tanto a las pequeñas y medianas empresas como a los individuos, fortaleciéndonos mutuamente. Nuestra fuerza colectiva será mucho mayor que la de cualquier adversario, siempre y cuando mantengamos la voluntad y el deseo de colaborar.

Ha sido un placer hablar contigo, Sarah Armstrong-Smith. Aprecio mucho tu experiencia y el tiempo que nos has dedicado.

De nada. Gracias por invitarme.

Sean, Sarah nos ha compartido información fascinante, incluyendo algunas estadísticas importantes sobre la gravedad del problema. Por ejemplo, se dice que la ciberdelincuencia con motivaciones financieras equivaldría a la tercera economía más grande del mundo.

Muchos de nosotros escuchamos sobre la resiliencia, ¿verdad? ¿Pero qué significa realmente? Creo que la resiliencia comienza con comprender, como Sarah explicó, el panorama de las amenazas cibernéticas. ¿Sabías que el ransomware se ha duplicado en el último año? ¿Eres consciente de cómo la nube está siendo explotada de manera más compleja que antes?

La siguiente etapa implica conocer las funciones críticas de tu negocio. Es crucial entender qué tecnología respalda estas funciones y servicios. Además, ¿has ensayado tu plan de respuesta a incidentes y gestión de crisis? Insto a todos los directores generales a participar en estos ejercicios, ya que la práctica mejora el desempeño.

En cuanto a la gestión de crisis, las empresas deben actuar con la rapidez necesaria. ¿Cuáles serán los comunicados que emitirán de inmediato? ¿Qué respuestas pueden ofrecer para ganar tiempo?

Finalmente, parte de la resiliencia implica tener copias de seguridad inmutables. ¿Puedes restaurar funciones críticas del negocio y servicios sin necesidad de pagar un rescate?

Estamos en un punto de inflexión. Es crucial entender este riesgo y abordarlo de manera integral como sociedad, involucrando tanto al sector público como al privado.

En varias encuestas recientes de PwC, la ciberseguridad y la IA generativa han surgido como temas prominentes. Por ejemplo, en la 27ª Encuesta Global Anual de presidentes PwC, muchos directores generales expresaron preocupación por cómo la IA generativa podría aumentar los riesgos de ciberseguridad y propagar información errónea dentro de sus empresas. ¿Crees que esto refleja la realidad que estás observando?

Creo que sí refleja la realidad, pero hay dos puntos importantes a considerar. Primero, hay que apartarse del exceso de publicidad sobre la IA generativa; y segundo, comprender cómo realmente se implementa en el ciberespacio. La pregunta clave es: ¿quién se beneficia más de esta tecnología, los adversarios o los defensores? En este momento, diría que los adversarios tienen la ventaja. Pueden aprovechar esta tecnología rápidamente para identificar vulnerabilidades en las organizaciones.

Por otro lado, hay grandes empresas como Microsoft, Google y Amazon que también están adoptando esta tecnología para defenderse y obtener ventajas. Sin embargo, estas empresas representan una minoría. Para la mayoría de las pequeñas y medianas organizaciones, creo que la ventaja está del lado de los adversarios.

Sean, parece que muchas empresas están apresurándose por integrar la IA generativa en sus sistemas y procesos empresariales para no quedarse atrás. Pero, ¿existen riesgos cibernéticos al precipitarse? ¿Cuál es el enfoque correcto?

He hablado con muchas empresas que están avanzando rápidamente en el desarrollo de casos de uso para la IA generativa. Sin embargo, a veces, uno o dos meses después, recibo llamadas del director de riesgos o de cumplimiento preguntándome cómo podemos asegurar adecuadamente estos desarrollos. No se trata solo de ciberseguridad, aunque ciertamente es crucial. Creo que se trata más bien de establecer bases sólidas. Es fundamental preguntarse: ¿cuál es la estructura de gobernanza y supervisión que estamos implementando? ¿Cómo aseguramos que cumple con nuestras políticas organizacionales y regulaciones?

Las empresas han adoptado principios y establecido normativas, pero ahora enfrentan el desafío de comprender los riesgos más profundos. ¿Entendemos los riesgos del modelo mismo, los relacionados con los datos que utilizamos? ¿Comprendemos los riesgos asociados con el usuario, ya sea por mal uso intencional o manipulación involuntaria del sistema de IA?

Las empresas que construyen una organización resistente según los principios que mencioné, son las que van a prosperar. Mantendrán la confianza de sus clientes, protegerán su marca y aprovecharán las oportunidades de crecimiento frente a sus competidores.

Claro, profundicemos en eso. Mirando hacia el futuro, ¿qué podemos esperar en la intersección entre IA generativa y ciberseguridad el próximo año? ¿Qué aspectos se deben estar observando de cerca?

Creo que es crucial estar especialmente atentos al aumento de la desinformación. Además, anticiparía un incremento en los ciberataques.

Bueno, Sean, ha sido una conversación absolutamente fascinante. Agradezco mucho tu tiempo y tus perspectivas.

Gracias a ustedes, Ayesha y Lizzie. Me ha encantado participar. Gracias por invitarme.

Ayesha, ha sido otra conversación fascinante. Es sorprendente lo rápido que avanza todo. Las apuestas en ciberseguridad parecen estar en su punto más alto. La rápida integración de la IA generativa y la incertidumbre sobre cómo utilizarla mejor tanto para la defensa como para mitigar lo que los atacantes pueden hacer con ella son temas cruciales.

Son conversaciones bastante serias, especialmente desde la perspectiva empresarial. Pero algo que me llamó mucho la atención de lo que dijo Sean es cómo este nuevo mundo cibernético y los ciberataques están desafiando la gestión tradicional de crisis. Ya no se trata de esperar una respuesta, sino de actuar en tiempo real, a una velocidad impresionante. Esto seguramente tendrá un gran impacto en los ejecutivos y directores generales.