A lo largo de 2024, diferentes tendencias de ciberseguridad marcaron la agenda. El crecimiento del malware as a service (MaaS) facilitó el despliegue de ataques a gran escala, el uso de Telegram por parte de cibercriminales, así como el ransomware como una de las amenazas más preocupantes a nivel empresarial y gubernamental fueron las situaciones que alertaron a los especialistas en ciberseguridad a lo largo de todo el año. Tomando esta situación, y considerando los nuevos avances tecnológicos, el Laboratorio de Investigación de ESET presentó las posibles tendencias que tendrán un papel principal en la seguridad digital del próximo año.
“El 2025 teorizamos que estará marcado por la creciente necesidad de protección de los sistemas OT (Tecnología Operativa), esenciales para infraestructuras críticas. Además, el uso malicioso de la IA Generativa planteará nuevas amenazas. Estas cuestiones estarán ligadas a desafíos legales y éticos que plantean la necesidad de regulaciones más claras y efectivas”, aseguró Fabiana Ramirez Cuenca, Investigadora del Laboratorio de ESET Latinoamérica.
Usos de la IA Generativa
La GenAI es quizás la Inteligencia Artificial más implementada de la actualidad. Esta se destaca por su capacidad para generar contenido como textos, imágenes, videos, música, voces, entre otros, lo que por ejemplo permite mejorar la creatividad y eficiencia en diversas industrias. Sin embargo, los cibercriminales también la aprovechan para fines maliciosos, como la creación de deepfakes y la automatización y perfeccionamiento de ataques cibernéticos.
OpenAI, la compañía detrás de ChatGPT, ha emitido un informe Influence and cyber operations: an update, en el que detalla cómo diversos cibercriminales han utilizado sus modelos de IA para realizar tareas de fases intermedias en los ciberataques luego de haber adquirido algunas herramientas básicas, pero antes de desplegar sus ataques, sean de phishing o distribución de malware. En el mismo informe, la empresa identificó que distintos grupos APT (Amenazas Persistentes Avanzadas) han utilizado la tecnología para, por ejemplo, el debugging de código malicioso, la investigación de vulnerabilidades críticas, el perfeccionamiento de phishing, generación de imágenes y comentarios falsos, entre otras.
“Podríamos esperar para el 2025 la continuidad del uso de la IA Generativa para la mejora de campañas que inicien con ingeniería social; el aprovechamiento de los algoritmos para el diseño de códigos maliciosos; el posible abuso de aplicaciones de compañías que usen algoritmos IA open source y, por supuesto, la sofisticación de los deepfakes y la posible interacción con la realidad virtual”, agregó Ramirez Cuenca.
Desafíos legales y éticos de la IA
Frente al crecimiento de la Inteligencia Artificial Generativa y su potencial uso malicioso, surgen desafíos legales y éticos que en su mayoría aún no han sido eficientemente abordados. Entre estos se encuentran interrogantes como, por ejemplo, quién es el responsable por los actos de la IA, o qué límites debería imponerse a su desarrollo.
Hoy en día existen muy pocas normas a nivel internacional que aborden las problemáticas emergentes del uso de la IA. Mientras que, aquellas que existen muchas veces resultan insuficientes frente a un panorama de desarrollo acelerado de esta tecnología.
Entre las normas más destacadas se encuentra el Acta de IA de la Unión Europea (existente desde 2023) que pretende garantizar la ética y transparencia, así como el desarrollo seguro y protección de derechos humanos, abordando la IA desde un enfoque basado en riesgos y clasificando algoritmos según su peligrosidad. En paralelo, Estados Unidos cuenta con varios abordajes, desde una iniciativa nacional de Inteligencia Artificial, una Orden Ejecutiva para el uso seguro y confiable de esta tecnología y un proyecto de carta de derechos que se encuentra en tratamiento.
Analizando el nivel regional, se debe mencionar que en Latinoamérica no ha habido grandes avances durante el 2024, ya que solamente Perú cuenta con una ley vinculada con la Inteligencia Artificial.
“Para el 2025 es probable que a nivel regulatorio haya un mayor escrutinio en Algoritmos y Modelos de IA que permitan garantizar transparencia y explicabilidad, es decir que las personas puedan comprender las decisiones de esta tecnología. También seguirán los avances en regulaciones sobre ciberseguridad aplicadas a la temática y en materia de cooperación internacional.”, comentó la investigadora de ESET Latinoamérica.
Sistemas de Control Industrial
Los OT son sistemas informáticos y dispositivos utilizados para controlar procesos industriales y físicos en diversos sectores, como la energía, manufactura, agua y gas, entre otros. Estos sistemas gestionan equipos como PLC (Controladores Lógicos Programables), SCADA (Sistemas de Control Supervisorio y Adquisición de Datos) siendo su función principal la automatización de procesos.
La digitalización y conectividad de estos sistemas los ha vuelto interesantes y vulnerables a ciberataques. De hecho, ya se han visto códigos maliciosos que tienen como objetivo estos sistemas, entre los que podemos destacar a “Aurora” y “Blackenergy Industroyer”.
“Estas son las tendencias que teorizamos serán centrales en la ciberseguridad para el próximo año, un escenario desafiante marcado por el crecimiento del uso de la Inteligencia Artificial Generativa por parte del cibercrimen. Esto exigirá adaptar los sistemas de defensa y avanzar en marcos legales que aborden los interrogantes abiertos por estas tecnologías, incluso en sus usos legítimos y beneficiosos”, comentó Ramirez Cuenca.
A modo de conclusión, esta integrante de ESET Latinoamérica expresó que los ataques a infraestructuras críticas seguirán siendo una preocupación. Además, los sistemas OT serán el objetivo clave debido a su interconexión y su rol esencial en sectores estratégicos. Por lo tanto, fortalecer su ciberseguridad debe ser prioritario para evitar así graves consecuencias.
