Llega un nuevo año y la innovación tecnológica no para. Por mucho que el cine y los expertos nos adelanten lo que está por venir, los usuarios de a pie, seguramente, se encontrarán en sus manos con desarrollos que no imaginaban mucho antes de lo previsto.
Esta tecnología del futuro (del presente continuo, más bien) avanza al mismo ritmo para los hackers y ciberdelincuentes, que también estudian, investigan y diseñan maneras de utilizarlas para llegar hasta nuestro dinero, nuestros datos o nuestra propia personal.
Así las cosas, ¿podríamos predecir cuáles serán las principales amenazas de ciberseguridad que emergen de las profundidades de la dark web y de las mentes de los ciberdelincuentes en 2024?
El Laboratorio de Amenazas de WatchGuard sí puede, y sus expertos aventuran cómo los ciberdelincuentes van a utilizar la IA, nuestros dispositivos tecnológicos favoritos y mucho más para derribar nuestras defensas y acceder a nuestros datos personales. Estas son las principales amenazas de seguridad para 2024:
Índice de temas
La ingeniería Prompt engaña a los Large Language Models (LLM)
En 2024 un ingeniero de prompts lo suficientemente avezado -ya sea criminal o investigador- será capaz de crackear el código y manipular uno de estos LLM para filtrar información confidencial.
Estos modelos de lenguaje natural o LLM son los que permiten que un ordenador mantenga una conversación bastante convincente con un humano y que responda a (casi) cualquier pregunta. Y del mismo modo que ayudan a cualquier usuario a redactar un texto, también pueden ser utilizados para escribir emails de ingeniería social cada vez más convincentes.
Por otro lado, cada vez más organizaciones y empresas usan estos modelos (casi siempre desarrollados por terceros y de uso público) para mejorar su eficiencia operativa y para gestionar tareas o datos confidenciales o privados.
Puesto que los LLM utilizan todos los datos introducidos para su entrenamiento, esto significa que estaríamos confiando en el proveedor para almacenar y proteger esos datos.
Y no es que dudemos de dicho proveedor, de hecho, nos consta que se afanan por protegerlos agregando limitaciones y salvaguardas, pero en el otro lado hay también ‘ingenieros rápidos’ que juegan incesantemente al gato y al ratón. Un buen conocedor de la ingeniería prompt podrá hacer las preguntas correctas para encontrar vulnerabilidades que aprovechar.
La falta de profesionales de ciberseguridad hará que muchas empresas opten por proveedores de servicios gestionados (MSP)
Para 2024 esperamos que se duplique el número de empresas que subcontratan la seguridad debido tanto a la difícil economía como a la dificultad para encontrar profesionales en ciberseguridad.
Según las últimas previsiones, en 2022 había más de 3 millones de puestos de trabajo en ciberseguridad sin cubrir, una cifra que quizá incluso haya crecido en 2023. Además, el sector tiene un problema de burnout, por lo que Gartner prevé que casi el 50% de los directivos expertos en este segmento cambiará de trabajo, contribuyendo a un movimiento que ya se denomina “la gran renuncia en ciberseguridad”. Así las cosas, ¿cómo se protegerán las pequeñas y medianas empresas?
No les queda otra opción que recurrir a proveedores de servicios gestionados y de servicios de seguridad (MSP/MSSP), que verán crecer su negocio de servicios gestionados de detección y respuesta y de centro de operaciones de seguridad.
Aunque también ellos tendrán dificultades para reunir el equipo profesional y la infraestructura necesarias para respaldarlos y deberán, en muchos casos, recurrir a plataformas de seguridad unificada con IA y machine learning.
Las soluciones generales y menos personalizadas, como estas, son presa jugosa para los ciberdelincuentes, que pueden acceder a mucha información valiosa de una sola tacada.
Aumentan las ventas de herramientas de phishing con IA en la Dark Web
Durante 2024, esperamos ver al menos una herramienta basada en IA/ML que ayude a realizar phishing automático a la venta en el mundo clandestino.
Los ciberatacantes ya lo están haciendo, pero en 2024 será más patente cómo experimentan con herramientas maliciosas basadas en IA y, lo que es peor, las venden en la Dark Web. Así, empezaremos a ver (o a sufrir) un mercado negro cada vez mayor de herramientas de phishing automatizadas que inundarán nuestros correos, teléfonos y dispositivos inteligentes..
Pensemos en la modalidad del Spear phishing (phishing contra un objetivo específico. Por ejemplo, convencer a una persona concreta que les permita acceder a una gran organización requería hasta ahora de un gran trabajo manual de investigar y localizar a las víctimas).
Sin embargo, ya existen herramientas disponibles y a la venta en el mundo clandestino para enviar correos electrónicos no deseados, crear automáticamente textos convincentes y específicos, y rastrear Internet y las redes sociales en busca de información y conexiones de un objetivo en particular.
Es cierto que todavía muchas de estas herramientas siguen siendo manuales y requieren que los atacantes apunten a un usuario o grupo a la vez, pero la IA y el machine learning bien entrenados van a permitir automatizar las tareas y llegar mucho más lejos.
El vishing basado en inteligencia artificial despega en 2024
El phishing por voz (vishing) aumentó más de un 550% anual entre el primer trimestre de 2021 y el primer trimestre de 2022. Significa que un estafador nos llama haciéndose pasar por una empresa u organización de buena reputación o incluso un compañero de trabajo (o el jefe de alguien) e intenta que hagamos algo que puedan monetizar, como comprar tarjetas de regalo o criptomonedas en su nombre.
Lo único que frena este ataque (todavía) es su dependencia de un humano. Si bien las tecnologías de VoIP y de automatización facilitan la marcación masiva de miles de números y dejar mensajes o redirigir a las víctimas que tienen la mala suerte de responder, una vez que han sido tentadas a ponerse en línea, un estafador humano aún debe hacerse cargo de la llamada para atraerlos (por así decirlo).
Por eso, a día de hoy, muchas de estas bandas vishing son grandes call centers muy similares a los centros de llamadas de soporte o de atención al cliente, donde los ‘empleados’ tienen guiones especialmente diseñados para sacarnos el dinero.
Sin embargo, la combinación de audio deepfake convincente y los LLM capaces de mantener conversaciones con víctimas desprevenidas harán que aumente en gran medida la escala y el volumen de llamadas de vishing que veremos en 2024. Es más, es posible que ni siquiera requieran una amenaza humana. participación del actor.
Los auriculares VR/MR abrirán la puerta de nuestra casa a los malhechores
En 2024 veremos cómo un investigador o un pirata informático malintencionado encuentra la manera de recopilar o acceder a los datos de los sensores de los auriculares VR/MR y recrear el entorno en el que juegan los usuarios.
Los cascos de realidad virtual y mixta (VR/MR) están finalmente experimentando una acogida masiva. Estos dispositivos ofrecen una gran cantidad de información nueva y personal que puede ser robada, monetizada y utilizada como arma por los malhechores, por ejemplo, el diseño o ubicación exacta de nuestro hogar.
Porque para gestionar adecuadamente nuestra presencia en un entorno virtual, estos auriculares deben rastrearlo en el espacio real. Lo hacen con cámaras y sensores que obtienen distintas perspectivas de la habitación o zona donde estamos. Incluso aunque solo utilicen cámaras 2D, combinando los múltiples ángulos de la cámara con fotogrametría se puede obtener el diseño de la sala.
Más aún, hace poco, el ya popular visor de realidad virtual Quest 3 ha agregado un sensor de profundidad, que le permite además, obtener un diseño bastante ajustado de los muebles y objetos dentro de ese espacio.
Estos auriculares también incorporan funciones de “transmisión” y realidad mixta, que permiten al usuario caminar por toda la casa con ellos puestos, mientras lo usa, potencialmente mapeando en 3D por dondequiera que vaya.
Hasta ahora, los creadores de estos auriculares no parecen estar dando muestras de querer almacenar estos datos para sus propios fines (aunque ‘hasta ahora’ es ciertamente la clave aquí).
Además, trabajan para diseñar e incorporar protecciones para evitar que software o actores maliciosos obtengan acceso. Pero la puerta de la casa está ahí, y los ciberatacantes que tengan interés probablemente acabarán encontrando la manera de entrar.
El uso desenfrenado de códigos QR puede acabar en algún hackeo masivo
En 2024 esperamos ver una gran violación o pirateo de alcance nacional o quizá mundial que implique los QR en todos los titulares.
Si bien los códigos de respuesta rápida (QR) existen desde hace décadas, su popularidad ha aumentado en los últimos años, lo que ha resultado en una explosión generalizada de su uso.
Desafortunadamente, esto está impulsando a los usuarios a hacer aquello que los ciberexpertos siempre recomendamos no hacer: pinchar en enlaces aleatorios sin saber a dónde van. Y, como están disponibles y se utilizan cada vez más en lugares públicos, es facilísimo para los atacantes alterarlos (cambiarlos, falsearlos o, sencillamente, pegar encima del original un QR que dirija a un sitio malicioso).
Lo cierto es que los códigos QR no sólo fomentan malas prácticas de seguridad, sino que además oscurecen algunas de las técnicas que muchos usarían para verificar si es seguro hacer clic en una URL o hipervínculo típico, porque no siempre esa dirección está visible..
Por eso, recomendamos prestar atención y, a menos que estemos seguros de que necesitamos seguir ese enlace, no escanear nunca un QR por curiosidad y siempre tratar de verificar el dominio completo para asegurarnos de que dirige correctamente al lugar que esperamos.