Mikko Hyppönen, pionero de la ciberseguridad, alerta sobre las campañas de 'malware' automatizadas por IA

Mikko Hyppönen, pionero de la ciberseguridad, comenzó su carrera hace 32 años en la empresa finlandesa de ciberseguridad F-Secure, dos años antes de que Tim Berners-Lee lanzara el primer navegador web del mundo. Desde entonces, ha desactivado virus mundiales, ha buscado a los primeros autores de virus en una zona de conflicto pakistaní y ha viajado por todo el mundo asesorando a las fuerzas de seguridad y a los gobiernos sobre ciberdelincuencia. También ha publicado recientemente un libro, ‘If it's smart, it's vulnerable’ (‘Si es inteligente, es vulnerable’), donde explica cómo el crecimiento de la conectividad a Internet ha alimentado las ciberamenazas.

CSO tuvo la oportunidad de hablar con Hyppönen en la conferencia Sphere de este año en una amplia entrevista sobre el estado de la industria, las crecientes amenazas a la ciberseguridad a las que se enfrenta Europa y la promesa y el peligro de la inteligencia artificial (IA).

Una industria de la ciberseguridad en maduración

El sector tecnológico, antaño en auge, se ha topado con un muro, reduciendo sus filas en 168.243 empleados en lo que va de 2023. Los gigantes tecnológicos Google, Amazon, Microsoft y Meta han retrocedido desde su última década de alzas aparentemente ilimitadas, ya que las presiones recesivas y otros factores económicos han enfriado sus otrora halagüeñas proyecciones.

A pesar de la ola de despidos, el sector de la ciberseguridad parece ser en gran medida inmune a los problemas que afectan a Silicon Valley, con una demanda de nuevos empleados aparentemente "tan fuerte como siempre" en un sector con escasez crónica de personal. "Siempre habrá amenazas. Siempre habrá gente mala", explica a CSO Hyppönen, que ahora es director de investigación de WithSecure. "Hay una necesidad constante de seguridad. En mi opinión, la ciberseguridad seguirá siendo un negocio en crecimiento. Creo que hay seguridad laboral en la ciberseguridad". (WithSecure era conocida como F-Secure for Business hasta el año pasado, cuando se separó de la ahora orientada al consumidor F-Secure, para la que Hyppönen también es asesor principal de investigación).

Cuando Hyppönen comenzó su carrera, no existía una industria de ciberseguridad significativa. Ahora, los analistas prevén que el sector supere los 162.000 millones de dólares en ingresos en 2023, con algo más de tres docenas de empresas que en conjunto tienen una capitalización de mercado superior a los 624.000 millones de dólares y representan la mayor parte de esos ingresos.

Dado este estado de maduración, la pregunta sigue siendo si hay espacio para nuevos participantes en la ciberseguridad. "Durante años, las barreras de entrada para los recién llegados a la ciberseguridad eran enormes, debido a la cantidad de trabajo que había que hacer para comprender los problemas y crear una biblioteca de detecciones para todos los ataques posibles, lo que llevaba años y años a las empresas", afirma Hyppönen. "Por eso, creemos que no habrá nuevas startups en seguridad de end points".

"En realidad, puedes entrar en el juego con nuevas tecnologías basadas en la detección de anomalías y el aprendizaje automático", afirma Hyppönen. "Así, no tienes que ser capaz de detectar todos los posibles ataques que siempre hemos visto. Basta con que puedas detectar anomalías, que algo raro está pasando, algo inusual, algo que no ocurre normalmente”.

Hyppönen cree que la necesidad de detectar cosas raras e inusuales "ha abierto las puertas a un montón de nuevas empresas creadas por una nueva generación de investigadores" que han crecido en Internet y no se rigen por el pensamiento convencional. "Probablemente no sea bueno para el negocio que demos la bienvenida a nuevos competidores", afirma. "Pero personalmente, me encanta verlo".

Las ciberamenazas europeas aumentan en tiempos de guerra

Desde que Rusia invadió Ucrania el año pasado, las organizaciones europeas han experimentado una creciente marea de ciberamenazas de actores aliados de Rusia, que, aunque infligen sólo daños menores, han sometido a agencias gubernamentales y empresas de todo el continente a un malestar psicológico, dice Hyppönen. Un grupo en particular, el llamado grupo hacktivista NoName057(16), del que se ha informado poco, ha participado en un ataque constante de ataques DDoS en toda Europa a través de un proyecto llamado DDosia desde marzo de 2022 junto con otros grupos prorrusos, incluido Killnet.

Hyppönen escaneó el canal de Telegram de NoName057(16), el principal modo de comunicación del grupo, y leyó en voz alta una lista de los ataques recientes del grupo. "Francia. Un aeropuerto en Alemania. Un fabricante de armas alemán. Un banco italiano. El sector público italiano. Este tipo de ataques son las llamadas de atención para las empresas, porque muchos de los objetivos de los ataques los realizan bandas que no son del gobierno, sino que son como hackers patriotas privados de Rusia", afirma. (Sin embargo, Illia Vitiuk, jefa del Departamento de Ciberseguridad de la Información del Servicio de Seguridad de Ucrania, declaró en la conferencia RSA de abril que cree que los hacktivistas rusos están patrocinados por el Estado).

"Atacan objetivos sorprendentes, como un aeropuerto de Francia", que probablemente esté desconcertada por verse envuelta en el conflicto, afirma Hyppönen. "Pero estos tipos buscan golpes simbólicos, que están en nuestros corazones y mentes. Estos ataques son específicos de la guerra en Ucrania, y casi todos los objetivos que vemos están en Europa".

Otro grupo de hackers prorrusos derribó el sitio web del Ministerio de Defensa de Finlandia justo cuando el presidente ucraniano, Volodímir Zelenski, comenzaba un discurso en vídeo ante el Parlamento del país. "¿Cuándo fue la última vez que alguien visitó la página web del Ministerio de Defensa? Nadie va nunca allí", dice Hyppönen. "Así que la página web no tiene ninguna importancia. Si se cae y permanece caída el resto del año, nadie echará de menos la página web. Eso no tiene ningún efecto en la capacidad operativa de nuestro Ministerio, fuerzas de defensa o Ejército. Nada de eso".

Sin un componente destructivo real, el objetivo de estos ataques es debilitar la moral europea, afirma Hyppönen. "Sienta mal. Realmente sienta mal. Y eso es lo que intentan hacer".

Se acerca la total automatización de las campañas de malware

ChatGPT y las docenas de aplicaciones de IA de rápida aparición fueron los temas más candentes en Sphere, con su potencial para fomentar la ciberdelincuencia y las estafas de forma más eficaz. "Son emocionantes y dan miedo al mismo tiempo", dijo Hyppönen durante su discurso de apertura. "Y no nos equivoquemos: estamos viviendo el verano de la IA más caliente de la historia".

A pesar del potencial de la IA para poner patas arriba las industrias y facilitar que los actores de amenazas avancen en sus actividades maliciosas, Hyppönen dice a CSO que es "obligatorio" que la industria de la ciberseguridad adopte la tecnología. "No hay otra forma de que empresas como la nuestra puedan seguir el ritmo del número de ataques si no es utilizando la automatización, el aprendizaje automático y la IA", afirma. "Ya llevamos bastante tiempo utilizándola".

Solo será cuestión de meses que los actores de amenazas maliciosas utilicen código fuente de IA ampliamente disponible para perfeccionar sus técnicas. "Lo que realmente estoy esperando, y va a suceder en los próximos dos meses, es la total automatización de las campañas de malware", dice. "Porque ahora mismo son humanos, atacantes que trabajan a velocidad humana contra defensores como nuestros sistemas o las empresas de seguridad en general, que utilizan la automatización y el aprendizaje automático para encontrar y reaccionar a nuevos ataques muy rápidamente".

El inconveniente para los ciberdefensores es que el funcionamiento de la IA se vuelve impenetrable en cierto punto debido a la falta de visibilidad y comprensión de cómo funciona. Por ejemplo, dice Hyppönen, "un cliente llama y pregunta: 'Eh, estáis bloqueando este programa que hemos hecho, ¿y por qué lo habéis bloqueado?'. No podemos responder. Lo dice la máquina".

Ese programa podría incluirse en la lista blanca y comprobarse manualmente, "pero ya no podemos responder al cliente por qué cree que es malo, porque es un marco de aprendizaje automático", dice Hyppönen. "Es una caja negra. Lleva demasiado tiempo enseñándose a sí mismo".