Actualidad

DeepLocker, el “francotirador” más certero y letal contra la ciberdelincuencia

Utiliza la inteligencia artificial para permanecer escondido y activarse solo cuando identifica al sospechoso.

La sofisticación de los ataques cibernéticos es cada vez mayor y es cuestión de tiempo que utilicen -si no está ocurriendo ya- herramientas de inteligencia artificial. Por eso, investigadores de IBM Research han desarrollado una nueva generación de herramientas de ciberseguridad con IA, denominada DeepLocker. Esta tecnología aúna herramientas de IA de código abierto con técnicas de malware que dan lugar a un nuevo tipo de malware evasivo -capaz de evitar de forma activa ser analizado e identificado- ultra dirigido y altamente efectivo contra el cibercrimen.

La ventaja de DeepLocker es que permanece oculto en una aplicación hasta que, gracias a su entrenamiento con IA, se activa cuando identifica al sospechoso, mediante reconocimiento facial, geolocalización o reconocimiento de voz. Esta capacidad es similar al ataque de un francotirador, en contraste con el enfoque de «rociado” del malware tradicional. DeepLocker está diseñado para ser sigiloso. Vuela bajo el radar, evitando la detección hasta el momento preciso en que reconoce un objetivo específico.

Este malware es prácticamente imposible de detener ya que los ciberdelincuentes sólo podrían desbloquear su carga una vez les hubiese alcanzado. Esto es posible mediante el uso de un modelo de IA de red neuronal profunda (DNN) que evita que los ciberdelincuentes puedan desbloquearlo mediante el uso de ingeniería inversa.

Prueba de concepto

Para demostrar las capacidades de DeepLocker, los investigadores de IBM han desarrollado pruebas de concepto en las que escondieron ransomware en aplicaciones de videoconferencia. DeepLocker no ejecutó el ransomware en el sistema hasta que el modelo de IA con el que fue entrenado reconoció el rostro del ciberdelincuente. Cuando el sospechoso se sentó frente al ordenador y usó la aplicación, Deep Locker se activó de forma secreta, ya que su cara era la clave para activar el ataque. El ransomware no pudo ser detectado por herramientas de análisis de malware tradicionales, como motores de antivirus y entornos limitados.

Retrospectiva sobre ciberseguridad y malware evasivo

Evolución del malware:

A finales de los 80 y principios de los 90, se diseñaron las primeras variantes de virus polimórficos y metamórficos para alterar y destruir datos. Por medio de la mutación de la carga útil, los creadores del malware evitaban los sistemas antivirus que hacían análisis estático de los ficheros en busca de patrones. En consecuencia, la industria antivirus fue haciendo evolucionar y mejorando gradualmente el análisis estático detecta la intención maliciosa del código o archivos que se ejecutaban en aquellos terminales que protegían.

En la década de los 90, los autores de malware comenzaron a cifrar la carga útil malintencionada utilizando los denominados “empaquetadores”, de modo que el código malicioso solo podía identificarse cuando se descifrara en la memoria antes de su ejecución. La industria de la seguridad respondió con un análisis dinámico de malware, creando sistemas virtualizados en los que se ejecutaban los ejecutables sospechosos. De este modo, se supervisaba su actividad y se determinaba si su naturaleza era benigna o maliciosa.

En la década de los 2000, surgieron las primeras formas de malware evasivo. Por ejemplo, el malware utilizaba verificaciones para identificar si se estaba ejecutando en un entorno virtualizado y si había otros procesos que se sabía que se ejecutaban en entornos limitados de malware. Si se encontraba alguno, el malware dejaba de ejecutar su carga maliciosa para evitar el análisis y mantener sus secretos encriptados. Este enfoque aún prevalece hoy en día, ya que según diversos estudios, el 98 por ciento de las muestras de malware analizadas utilizan técnicas evasivas en diversos grados.

En los últimos años, el malware se ha vuelto cada vez más sofisticado y utilizan sistemas bare metal, – según Computer Security Group de la Universidad de California, Santa Bárbara- que se ejecutan en hardware real y evitan la virtualización. Una estrategia diferente son los ataques dirigidos. Estos seccionan sus rutinas de infección para tener un paso inicial que inspecciona cuidadosamente el entorno en el que se ejecutan en busca de características predefinidas sospechosas, como los nombres de usuario y los procesos de soluciones de seguridad. Solo si el punto final de destino se encuentra despejado, se busca y ejecuta el malware. Un ejemplo conocido de evasión es el gusano Stuxnet, que fue programado para apuntar y atacar sólo a sistemas de control de un fabricante en particular, y únicamente con ciertas configuraciones de hardware y software.

Aunque el malware evasivo sigue evolucionando, las formas más recientes de software malicioso dirigido siguen requiriendo activadores predefinidos que apoden identificarse al verificar el código, el código empaquetado, la configuración de los archivos o la actividad de la red. Frente a estos intentos de engaño de los ciberdelincuentes, los analistas expertos en malware de las organizaciones ya pueden observar y aislar todos estos desencadenantes de engaño y actuar para evitarlos con herramientas como DeepLocker.

Aunque todavía no se ha identificado ningún malware del tipo de DeepLocker entre la ciberdelincuencia, la comunidad necesita prepararse para este nuevo nivel de ataques con IA.

Vicente Ramírez

Graduado en Administración y Dirección de empresas, especializado en Marketing, Comunicación, Ciberderecho y Gestión de Riesgos para Ciberseguros. Director de Marketing en CyberSecurity News, Organizador de CISO Day 2019 y Administrador del grupo de LinkedIn "Eventos de Ciberseguridad España"

Deja un comentario Cancelar respuesta

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

Resultados financieros de Fortinet del primer trimestre 2025

Ciberseguridad, Cloud

BDO Abogados celebra el primer Foro Legal de Defensa y Seguridad en España

Actualidad, Eventos

Aumento del cibercrimen impulsado por inteligencia artificial

AI, Ciberseguridad

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

Resultados financieros de Fortinet del primer trimestre 2025

Ciberseguridad, Cloud

BDO Abogados celebra el primer Foro Legal de Defensa y Seguridad en España

Actualidad, Eventos

Aumento del cibercrimen impulsado por inteligencia artificial

AI, Ciberseguridad

Se cumple un año de la presentación del Clúster de Inteligencia Artificial de la Comunidad de Madrid

Detectan tres fallos clave de ciberseguridad en el sector educativo

Ciberseguridad

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks