Ciberseguridad
Inteligencia artificial
IA
Ransomware

Informe de Kroll sobre el panorama de las ciberamenazas: la IA ayuda a los atacantes

La IA está simplificando todo tipo de tareas, y no siempre para mejor. La razón es clara: los ciberdelincuentes también la están adoptando.

inteligencia artificial y ciberseguridad

En su informe de inteligencia de amenazas de primera línea para el primer trimestre de 2024, la firma de asesoría financiera y de riesgos Kroll reveló que, como en prácticamente todas las demás industrias, los ciberdelincuentes también están utilizando la inteligencia artificial (IA) para promover sus objetivos. Sin ir más lejos, tácticas bien conocidas como las utilizadas para comprometer el correo electrónico empresarial (BEC) están experimentando un gran desarrollo gracias a la IA.

Además, la firma asesora añade que los controles de seguridad diseñados para reducir el éxito de los ataques BEC, como es el caso del requisito de autenticación verbal de las solicitudes de los ejecutivos de la C-suite, se están eludiendo mediante el uso de IA para clonar las voces de los ejecutivos y, de esta manera, crear mensajes deepfake que aprueban transacciones fraudulentas.

Según se señala en el informe, “el phishing fue el vector más probable para los incidentes de compromiso de correo electrónico. Kroll observó que en el primer trimestre, mientras que el phishing era típicamente sinónimo de un mensaje de correo electrónico, los actores continuaron evolucionando las tácticas e introduciendo otras, como señuelos SMS y phishing de voz, que parecen estar aumentando en popularidad”.

Por otro lado, el informe también destaca que el ransomware experimentó un descenso hasta el 16%, desde el 23% de incidentes del trimestre anterior, posiblemente debido a los desmantelamientos por parte de las fuerzas de seguridad de organizaciones de ransomware-as-a-service como LockBit y BlackCat.

En consecuencia, “dado que la mayoría de los proveedores de tecnología trabajan con varios clientes, un intruso con acceso a varios proveedores de tecnología puede tener la capacidad de propagar actividades maliciosas a los clientes, lo que supone un riesgo de ataque a la cadena de suministro”, sostiene el informe de Kroll. Y prácticamente todos los incidentes de amenazas internas -el 90% de ellos, de hecho- se consideraron intencionados y, por tanto, malintencionados. Por lo tanto, “esto pone de relieve la importancia de que las empresas no pasen por alto la amenaza interna como tipo de incidente de amenaza”, destaca el informe.

 

Amenazas de día cero y CVE

Aunque el phishing siguió siendo el método más común para el acceso inicial con el 39% de los incidentes, los ataques lanzados mediante ingeniería social saltaron del 6% en el cuarto trimestre de 2023 al 20% en el primero de 2024. La explotación de vulnerabilidades de día cero y fallos documentados por CVE también experimentó un pequeño repunte, pasando del 6% en el cuarto trimestre de 2023 al 7% en el primero de 2024. Según el informe, lo más probable es que estos ataques desemboquen en un incidente de ransomware.

Sin embargo, los atacantes están explotando las vulnerabilidades y exposiciones comunes (CVE) más rápido que nunca después de su publicación. CVE es un estándar para identificar, definir y catalogar vulnerabilidades de ciberseguridad divulgadas públicamente; cada vulnerabilidad se describe en detalle y tiene un identificador CVE único.

 

¿A qué velocidad se mueven?

El 19 de febrero, la empresa de software ConnectWise notificó a sus clientes dos vulnerabilidades (CVE-2024-1708 y CVE-2024-1709) que afectaban a su herramienta de gestión remota ScreenConnect. Kroll asistió posteriormente a varios clientes cuyas redes fueron atacadas explotando los fallos.

En el informe también menciona este incidente, que resume así: “La mayoría de sus casos de ScreenConnect tenían una fecha de acceso inicial del 21 de febrero, lo que indica que los actores estaban explotando la vulnerabilidad en menos de 48 horas desde el anuncio original”.

A partir de una revisión de estos casos, Kroll observó una amplia gama de actores de amenazas aprovechando la vulnerabilidad. En el análisis de Kroll, los casos que se produjeron en los primeros cinco días de la publicación tenían más probabilidades de estar asociados a grupos de actores de amenazas a mayor escala. “Tres semanas después de la fecha de publicación, se observaron menos casos, probablemente debido a la aplicación generalizada de parches. Los casos observados durante este periodo de tiempo tenían más probabilidades de estar asociados a actores lobo solitario o a grupos de actores de amenazas menos sofisticados, destaca el informe.

 

WebDAV

En el primer trimestre de 2024 también aumentó la actividad de los atacantes que utilizaban WebDAV, un protocolo que permite a los usuarios comunicarse a través de HTTP para crear, modificar y mover documentos, con el fin de obtener acceso remoto a archivos de Windows. Las vulnerabilidades del software Microsoft SmartScreen permitían a los agresores enviar un acceso directo a Internet con una URL maliciosa incrustada que eludía los controles de seguridad, lo que permitía la descarga de programas maliciosos.

Debido a los problemas de seguridad de WebDAV, Kroll recomienda que las empresas bloqueen el tráfico WebDAV en el perímetro siempre que sea posible.

 

Recomendaciones para mitigar ‘Deepfake’

El informe concluye con recomendaciones que podrían ayudar a mitigar las crecientes amenazas relacionadas con los deepfakes. Según el informe, la detección de deepfakes y ataques basados en IA debería formar parte de la formación de los equipos de seguridad.

En suma, Kroll ofrece estos consejos para ayudar a determinar si se está utilizando un deepfake:

Para deepfakes pregrabados:

· Compruebe la dirección del remitente del vídeo. La de quien remite un deepfake suele ser falsa o desconocida.

· A menudo pueden utilizarse búsquedas inversas de imágenes para detectar vídeos deepfake de baja calidad y producidos en masa.

Para los deepfakes en directo:

· Se puede pedir a la persona que aparece en pantalla que realice movimientos amplios. Preste atención a la decoloración, las formas corporales anormales, las extremidades distorsionadas y el parpadeo irregular del cabello.

· Establezca una política por la que los protocolos de movimiento estándar deban seguirse para evitar escenarios de deepfakes como parte de los procedimientos de cumplimiento habituales.

Para deepfakes basados en IA

· Entrene modelos de detección en individuos, en lugar de intentar identificar deepfakes de forma genérica.

 

Proteger toda la superficie de ataque

“Ante el creciente desafío de la IA, las organizaciones ya no pueden arriesgarse a confiar en enfoques de seguridad puramente defensivos o unidimensionales. En su lugar, deben asegurarse de que su vigilancia se traduce en una estrategia que aborda proactivamente todas las capas de la superficie de ataque”, concluye el informe



TE PUEDE INTERESAR...

Contenido Patrocinado

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper