Durante años, el phishing fue solo un juego de números: un actor malicioso enviaba un correo electrónico extremadamente genérico (y generalmente mal escrito) y lo enviaba a miles de destinatarios con la esperanza de que algunos mordieran el anzuelo. Sin embargo, con el tiempo, a medida que los filtros de spam y otras herramientas de seguridad del correo electrónico se volvieron cada vez más eficaces para filtrar dichos correos electrónicos, los actores de amenazas se adaptaron y comenzaron a aprovechar nuevas técnicas para eludir estas tecnologías.
Entre estas nuevas técnicas fue común un cambio hacia un enfoque más equilibrado del phishing, que enfatiza tanto la cantidad como la calidad. Este cambio dio lugar a las técnicas avanzadas de phishing que conocemos muy bien hoy en día, como el phishing dirigido y el compromiso del correo electrónico empresarial (BEC). A diferencia de las tácticas de phishing de antaño, estas técnicas utilizan mensajes convincentes y mucho más cuidadosamente elaborados, diseñados para engañar a individuos, grupos u organizaciones específicos.
Este cambio en las filosofías de phishing también ha llevado a una caída precipitada en el uso de cargas útiles maliciosas (es decir, enlaces o archivos adjuntos) en correos electrónicos de phishing, presumiblemente para evitar la detección de las soluciones de seguridad de correo electrónico más capaces de la actualidad. En conjunto con la tendencia general hacia ataques más cuidadosamente elaborados y con objetivos más específicos, nos encontramos en un panorama de amenazas cada vez más dominado nuevamente por la buena y tradicional ingeniería social.
Si bien estas técnicas de phishing “equilibradas” han ido en aumento desde hace algún tiempo, su escalabilidad estuvo históricamente limitada por los procesos lentos y laboriosos de investigar objetivos y elaborar correos electrónicos convincentes. Sin embargo, parece que esta limitación inherente a la escala es ahora cosa del pasado, con el surgimiento de la IA generativa (GenAI) que efectivamente invierte el embudo en cuanto a velocidad y escala del phishing.
Curiosamente, los investigadores han sido conscientes del potencial de GenAI para potenciar las campañas de phishing desde 2021, y algunos incluso han publicado investigaciones que demuestran la capacidad de ChatGPT de OpenAI para generar correos electrónicos de phishing significativamente más sofisticados y efectivos en una fracción del tiempo.
Al año siguiente, ChatGPT se lanzó al público el 30 de noviembre de 2022. Se convirtió en la aplicación para consumidores de más rápido crecimiento de todos los tiempos: pasó de cero a 100 millones de usuarios activos en menos de dos meses. Casi con la misma rapidez, las tecnologías GenAI encontraron su lugar entre las herramientas más formidables del arsenal del hacker moderno.
La IA generativa está abriendo las compuertas del phishing
Ahora, más de un año desde que las herramientas GenAI entraron en la corriente principal, han logrado cambiar por completo el equilibrio tradicional entre calidad y cantidad que alguna vez mantuvo bajo control la creación de contenido de phishing. Con estas tecnologías, los atacantes ahora pueden crear sin esfuerzo contenido de ingeniería social escrito por expertos en cuestión de segundos. Quizás aún más alarmante es que los actores maliciosos pueden utilizar herramientas GenAI para generar contenido en una diversidad de formatos, estilos e idiomas, proporcionándoles una versatilidad y un ancho de banda sin precedentes para escalar sus operaciones.
Aunque todas las principales herramientas comerciales GenAI de la actualidad poseen protecciones diseñadas para evitar el uso malicioso, investigaciones recientes han demostrado repetidamente que estas barreras se eluden fácilmente. Además, la comunidad de seguridad ha sido testigo del surgimiento de herramientas GenAI diseñadas explícitamente para propósitos nefastos, como FraudGPT y WormGPT.
Estas herramientas empoderan a los actores de amenazas al automatizar el desarrollo de ataques BEC y de phishing altamente personalizados que no solo son gramaticalmente correctos, sino que también son capaces de adaptar el texto a varios idiomas, contextos y estilos de comunicación. Además, estas herramientas aceleran la recopilación de inteligencia de código abierto (OSINT) al recopilar rápidamente información sobre los objetivos, incluidos detalles personales, preferencias, comportamientos y datos completos de la empresa.
A medida que evolucionan las amenazas impulsadas por la IA, los desarrollos recientes, como OpenAI, que permite a los usuarios crear herramientas GenAI personalizadas, son un posible motivo de preocupación. Tal potencial de personalización podría permitir a los delincuentes automatizar aún más aspectos del proceso de phishing, incluso mientras operan dentro de las salvaguardas prescritas por la herramienta.
Se mire por donde se mire, las compuertas parecen estar abriéndose. De hecho, nuestra investigación presenta un panorama bastante sombrío: desde el segundo trimestre de 2022 hasta el segundo trimestre de 2023, los intentos de BEC aumentaron un 23 % en los Estados Unidos y un 21 % a nivel mundial. Mientras tanto, los ataques avanzados por correo electrónico aumentaron en general un 24% solo en los dos primeros trimestres de 2023.
La gran mayoría de las organizaciones no están preparadas
Desafortunadamente, una mayoría significativa de organizaciones parecen no estar preparadas para contrarrestar estas amenazas emergentes de phishing. La principal de las preocupaciones que enfrentan la mayoría de las organizaciones hoy en día es la brecha récord en la fuerza laboral en ciberseguridad, con una necesidad estimada de 4 millones de profesionales adicionales en todo el mundo para proteger los activos digitales, según informó ISC2. El mismo informe revela que casi la mitad (48%) de las organizaciones actuales carecen de las herramientas y el talento para responder eficazmente a los incidentes cibernéticos.
Además, el estudio ISC2 muestra que los profesionales de la ciberseguridad actuales se sienten menos seguros sobre el panorama de amenazas actual. Un asombroso 75% de ellos afirma que el panorama de amenazas actual es el más formidable que han encontrado en los últimos cinco años, y el 45% anticipa que la inteligencia artificial (IA) planteará su mayor desafío en los próximos dos años. Esta perspectiva subraya la urgencia de que las organizaciones fortalezcan sus defensas de ciberseguridad y se adapten a la naturaleza en rápida evolución de las ciberamenazas.
Nuestro análisis encontró que más de 8 millones de intentos de phishing evadieron con éxito las defensas nativas solo en 2022. Sorprendentemente, casi el 88% de estos mensajes maliciosos se clasificaron como “amenazas desconocidas”, es decir, ataques de phishing avanzados sin enlaces ni archivos adjuntos maliciosos, que dependen únicamente de tácticas de ingeniería social.
El imperativo de la seguridad mejorada por IA
Cada vez es más evidente que la única manera confiable de combatir esta creciente ola de amenazas avanzadas de phishing es combatir fuego con fuego, es decir, aprovechar la inteligencia artificial y las soluciones de seguridad del correo electrónico basadas en el aprendizaje automático como medidas defensivas contra esta amenaza que cambia rápidamente y es cada vez más desafiante. panorama de amenazas.
Las soluciones de inteligencia artificial y aprendizaje automático son únicas porque no solo son más capaces de detectar amenazas directamente (incluidas amenazas previamente desconocidas), sino que también no tienen paralelo en su capacidad de aprender y adaptarse, lo que garantiza que su eficacia mejore con el tiempo. Es más, estas soluciones utilizan la capacidad de la IA para crear y ajustar perfiles de comportamiento de usuarios específicos para que puedan detectar de manera más confiable actividad anómala que puede ser indicativa de una cuenta comprometida y otros tipos de suplantación.
Entonces, cuando Bob, el famoso y brusco jefe de contabilidad, le envía un correo electrónico inusualmente cordial sobre la redirección del pago de una factura, las herramientas de seguridad habilitadas por IA reconocerán la irregularidad y la marcarán como potencialmente maliciosa. Con el tiempo, a medida que estas herramientas se exponen cada vez más a las comunicaciones de una organización, mejor detectan dichas anomalías, como la elección de palabras, la sintaxis, la estructura de las oraciones y la longitud, junto con otros innumerables parámetros que un lector humano consideraría más. probablemente pase por alto.
Sin embargo, las herramientas de seguridad basadas en IA son más efectivas cuando se usan para empoderar, no reemplazar, al personal humano, para ayudar a los empleados a ser defensores más efectivos y confiables de la seguridad organizacional. Una forma de hacer esto que a menudo se pasa por alto es racionalizando las operaciones diarias de los equipos SOC y automatizando el tipo de tareas rutinarias tediosas que tan a menudo monopolizan cantidades significativas de tiempo y energía de los profesionales de la seguridad.
En total, las herramientas habilitadas para IA ofrecen adaptabilidad, eficiencia y capacidades de detección incomparables, al mismo tiempo que facilitan la vida de los equipos SOC , a menudo sobrecargados de trabajo, abrumados y con poco personal , que siguen siendo tan esenciales para la postura de seguridad colectiva de nuestro mundo.
Dada la creciente complejidad de los ataques impulsados por IA, se ha hecho evidente la necesidad de soluciones de seguridad del correo electrónico mejoradas por IA adaptable.
Además, es esencial explorar cómo los empleados pueden colaborar con herramientas de seguridad de correo electrónico mejoradas por IA. Si bien la IA mejora significativamente la seguridad, no es infalible. Los empleados desempeñan un papel fundamental al examinar los correos electrónicos marcados, interactuar con chatbots de correo electrónico para obtener contexto y contribuir con sus conocimientos para detectar correos electrónicos altamente sofisticados que podrían eludir la seguridad. Esta colaboración entre humanos e IA garantiza una defensa más integral contra los correos electrónicos maliciosos y al mismo tiempo minimiza el riesgo de falsos positivos, lo que en última instancia fortalece la postura de ciberseguridad de una organización.
Perspectiva humana: el copiloto de la seguridad del correo electrónico
Además de implementar las herramientas de seguridad de IA adecuadas, cada CISO debe priorizar la capacitación en concientización sobre seguridad y las pruebas de simulación de phishing. A medida que evolucionan las tácticas de phishing, los empleados pueden convertirse en la última línea de defensa de su empresa contra nuevos ataques. Para desarrollar un conocimiento más amplio de los empleados sobre las tendencias de las tácticas de phishing, es crucial desarrollar e implementar programas continuos de capacitación y pruebas.
El aspecto final de un programa de formación eficaz dependerá en gran medida de las necesidades específicas de su organización. Pero no importa cuáles sean esas circunstancias, las siguientes tres cualidades son esenciales para que cualquier programa tenga éxito:
1. Frecuencia: La tradicional formación anual de sensibilización simplemente no es suficiente. La capacitación continua y regular es esencial para mantener la seguridad como una prioridad entre la fuerza laboral.
2. Relevancia: la capacitación y las simulaciones deben mantenerse actualizadas y reflejar el panorama de amenazas actual y las últimas metodologías de ataque. Los escenarios de ataques del mundo real deben ser la base, garantizando que los empleados puedan reconocer y responder a las tácticas que utilizan activamente los actores de amenazas actuales.
3. Personalización: si bien la capacitación tradicional en concientización sobre seguridad es esencial para establecer una base compartida de conocimiento en toda la organización, es importante reconocer que los empleados diferirán tanto en el conocimiento específico como en la confiabilidad. Como primer paso, las empresas deberían utilizar pruebas de simulación de phishing para establecer una línea de base de desempeño para cada empleado. A partir de ahí, las organizaciones pueden ofrecer simulaciones de capacitación más específicas y adaptadas a cada empleado, en función de su experiencia, conocimientos, departamento, título, etc.
Conclusión
El panorama de los ataques de phishing ha evolucionado significativamente en los últimos años, y los actores de amenazas emplean técnicas más avanzadas dirigidas a individuos, grupos u organizaciones específicas con la escala y la sofisticación contra las que muchas soluciones de correo electrónico heredadas no pueden proteger. Los atacantes se han vuelto expertos en personalizar sus ataques, utilizando información disponible públicamente para elaborar mensajes convincentes que engañan incluso a los profesionales más vigilantes.
Para defenderse de estas amenazas en evolución, las organizaciones y los profesionales deben permanecer atentos y proactivos. Esto incluye educación y capacitación continuas y la implementación de sólidas soluciones de seguridad de correo electrónico basadas en inteligencia artificial. Al mantenerse informadas y preparadas, las organizaciones pueden reducir significativamente su vulnerabilidad a estas técnicas avanzadas de phishing y proteger sus valiosos activos de los ciberdelincuentes.
Fuente y redacción: Eyal Benishti / Ironscales