Facebook Linkedin Twitter Instagram Youtube Telegram

“La IA ya es más eficaz que los humanos en campañas de phishing”

La IA en ciberseguridad 2024 ha cambiado las reglas del juego. Durante la pasada edición de CPX25 en Viena, pudimos hablar con Sergey Shykevich, Gerente del Grupo de Inteligencia de Amenazas en Check Point Software, con el que analizamos las amenazas más destacadas del momento, el impacto de la inteligencia artificial en la ciberseguridad y los errores más comunes de las organizaciones frente a los ciberataques.

🔐 Auge de los info stealers y vulnerabilidad del trabajo remoto

CyberSecurity News: ¿Cuáles han sido los principales cambios en el panorama de la ciberseguridad en 2024?

Sergey Shykevich (SS): Uno de los grandes cambios es el aumento de los ataques por info stealers. Este tipo de malware no se dirige a empresas, sino a dispositivos personales —más vulnerables— para obtener credenciales que les permitan acceder a entornos corporativos. ¿Por qué ocurre esto? Porque los dispositivos corporativos están mejor protegidos que los personales. Y esto se ha incrementado mucho debido al auge del trabajo híbrido y remoto.

En Check Point Software analizamos que el 70% de las infecciones se dan en dispositivos no corporativos. Los cibercriminales buscan accesos a VPNs o emails corporativos, y los info stealers son una vía directa. Además, estos ataques son la antesala del ransomware, que sigue evolucionando sin límites éticos, afectando incluso a sectores como la sanidad.

CsN: ¿Qué impacto han tenido las operaciones policiales contra el ransomware?

SS: En el caso de rescates, ha habido grandes operaciones contra grupos como LockBit o Alpha V y otros grandes grupos, pero seguimos viendo que, el ransomware sigue siendo igual de exitoso. ¿Por qué ocurre esto? Porque principalmente los ataques afectaron a estructuras, pero no se ha detenido a los operadores, que siguen en países sin tratados de extradición.

Hablamos de organizaciones criminales con oficinas físicas, cientos de empleados, departamentos de RRHH… y beneficios de cientos de millones de dólares al año. Así que mientras no se les arreste, no van a desaparecer por si solos y van a seguirán operando. Además, estos grupos vemos que reducen cada vez más sus límites morales. Están atacando cada vez más industrias, digamos sensibles, e infraestructuras críticas que antes no atacaban como es la sanidad, los hospitales, etc.

CSN: ¿Qué sectores han sido más atacados en España?

SS: En España, el más afectado es la industria manufacturerala más atacada, seguido por la sanidad. No solo en España si no en el mundo. La combinación de redes IT y OT en las fábricas complica la defensa, y las pérdidas por parada operativa pueden superar los 30.000 dólares por minuto. Esto hace que muchos fabricantes accedan a pagar.

La sanidad, lamentablemente, se ha convertido en un objetivo recurrente, lo que demuestra que ya no hay barreras éticas para los atacantes.

CSN: ¿Qué tendencias tecnológicas están marcando el ransomware?

SS: Vemos un desplazamiento hacia entornos Linux y servidores ESXi, críticos para las operaciones de empresas. Atacar un servidor de este tipo puede ser más eficaz que infectar miles de equipos. Los atacantes lo saben y lo aprovechan. Hoy en día hablamos más de una guerra de la información que de ciberataques masivos tradicionales. No se trata de un único ataque devastador, sino de campañas prolongadas y sutiles, cuyo objetivo es desestabilizar gobiernos, manipular la opinión pública y erosionar la confianza en las instituciones. En Europa hemos detectado múltiples campañas de desinformación, muchas de ellas vinculadas a actores rusoparlantes. Por ejemplo, antes de las elecciones en Moldavia, hace unos meses, también coincidiendo con el referéndum sobre su adhesión a la UE, vimos una ofensiva masiva a través del correo electrónico. Intentaban convencer a funcionarios y ciudadanos de que votaran en contra, usando argumentos falsos y alarmistas.

Curiosamente, ese mismo grupo estuvo implicado en campañas similares en España, en torno a las elecciones de 2023. Aunque sus activos digitales ya estaban desactivados cuando los analizamos, pudimos vincularlos con intentos de injerencia en el proceso electoral español.

Este tipo de conflicto no se parece a una guerra convencional. No es como el inicio del conflicto entre Rusia y Ucrania, donde se esperaba un ciberataque paralizante desde el primer día, algo que no ocurrió. Tampoco en Oriente Medio: cuando Israel lanzó ciberoperaciones, no fueron directamente contra Hamás, sino contra Irán. El patrón es claro: los objetivos no son infraestructuras críticas inmediatas, sino la narrativa, la percepción, el relato.

Se trata, en definitiva, de una guerra que se libra en la sombra. No se ve, pero está ahí, afectando a democracias que, como España, no están formalmente en guerra con nadie. Por eso es tan importante que la ciudadanía esté informada y alerta. La gente tiende a dudar de todo… hasta que deja de hacerlo, y entonces se lo cree todo. Esa es la paradoja de la desinformación: su poder está precisamente en lo silenciosa que puede llegar a ser.


💣 El ransomware no se detiene pese a operativos policiales

CSN: ¿Están siempre ligadas a la desinformación?

SS: Sí. El objetivo es influir. En España por ejemplo con todo lo relacionado con Cataluña. Hemos publicado cosas en Check Point Software. Hemos visto campañas similares en Polonia o en cumbres de la OTAN. La desinformación se ha convertido en un arma geopolítica con capacidad de afectar a cualquier país.


🧠 La IA Generativa potencia campañas de phishing y desinformación

CSN: ¿Qué papel juega la IA Generativa en estos ataques?

SS: La inteligencia artificial generativa se está utilizando con gran eficacia en ataques de phishing y campañas de spam. La IA permite generar millones de variantes de un mismo mensaje, lo que dificulta que los filtros de los proveedores de correo electrónico los detecten y bloqueen.

A medida que la IA se entrene con buenas prácticas de programación, también se utilizará para desarrollar malware más sofisticado. Es solo cuestión de tiempo.

Esto no tiene nada que ver con la inteligencia aplicada al análisis de datos, por lo que creo que cuando hablamos de IA, el enfoque debe centrarse especialmente en aquellos ataques que tienen éxito gracias a su uso. El objetivo principal suele ser acceder a información sensible, a menudo a través del phishing de correos electrónicos falsos.

Cuando estos mensajes logran pasar los filtros antispam, ¿qué significa? Sabemos que la protección básica de los proveedores de correo identifica como spam los correos con texto idéntico enviado a muchos destinatarios. Pero la IA generativa permite modificar los correos de forma que tengan el mismo contenido, pero expresado con palabras distintas. Así, los atacantes pueden eludir los filtros con facilidad y ejecutar campañas masivas sin ser detectados tan fácilmente. Esto ya lo estamos viendo.

En cuanto al malware, sí observamos que los ciberdelincuentes están utilizando la IA: proveedores de ransomware, ladrones de información, diferentes actores que generan scripts u otro tipo de código malicioso. Pero es importante subrayar que, por ahora, aún no se ha creado ningún malware con IA generativa que sea más sofisticado que el que podría desarrollar un programador experimentado.

En phishing, sí: la IA generativa ya supera a los humanos en muchos aspectos. Pero en el desarrollo de malware, todavía no. Sin embargo, creo que eso cambiará pronto. ¿Por qué? Porque compañías como OpenAI y otras están invirtiendo mucho en mejorar la calidad del código que generan sus modelos. Y lo que hoy se entrena para beneficio corporativo, mañana puede ser utilizado también para desarrollar herramientas maliciosas más avanzadas. Si hablamos de esto dentro de un año, probablemente mi respuesta será diferente.

CSN: ¿Qué errores cometen las organizaciones en ciberseguridad?

SS: Creo que, en primer lugar, muchas organizaciones no están al día con las nuevas tendencias, y es comprensible… porque no es fácil. Los directores ejecutivos y quienes toman decisiones suelen estar muy ocupados. Además, hay una carga importante relacionada con el cumplimiento normativo, como el RGPD. Incluso para mí, que me dedico a la inteligencia de amenazas, no siempre es sencillo seguir el ritmo de todo lo que ocurre. Por eso, considero fundamental estar actualizado sobre las tendencias, los acontecimientos recientes y las nuevas amenazas.

Creo que eso es clave, aunque no resulte fácil. Requiere leer mucho, hablar con expertos y dedicar tiempo, lo cual no siempre es sencillo en el ritmo diario. En segundo lugar, está la necesidad de tener un inventario completo de los activos. Es decir, conocer con precisión todos los recursos de la organización cuando se trata de información corporativa. Y eso incluye cosas como un simple teléfono móvil, no se limita solo a la red principal. Hoy en día también se usan dispositivos personales o servicios en la nube para interactuar con datos corporativos.

No es fácil, y muchas empresas siguen cometiendo errores en este punto: por ejemplo, dejar abiertos buckets de AWS, a los que cualquiera puede acceder y leer información sensible sin demasiadas barreras. Solo con mirarlos. Creo que este es otro de los factores críticos. Siempre hay que tener presente la estrategia de seguridad desde una visión amplia.

CSN: ¿Qué importancia tienen la educación y la concienciación?

SS: Creo que es muy importante, incluso diría que crítico, porque el principal vector de infección sigue siendo el correo electrónico. ¿Y por qué el correo electrónico? Porque en gran parte depende del factor humano. Es el empleado quien hace clic en un enlace, abre un archivo adjunto, introduce su contraseña… incluso cuando la empresa cuenta con buenas soluciones de ciberseguridad.

En esos casos, el ser humano puede pasar por alto todas esas defensas tecnológicas. Por ejemplo, si las vulnerabilidades se corrigen a tiempo, estás protegido. Pero cuando se trata del comportamiento humano, ese punto se vuelve crítico. Sí, creo que no basta con que el CISO entienda lo que ha pasado; también es clave que lo comprendan los empleados con menos conocimientos técnicos, porque los atacantes no suelen comenzar atacando al CEO o al responsable de TI.

Normalmente empiezan desde abajo: en el departamento de RR. HH., con un asistente ejecutivo o con alguien que, aunque tenga menos experiencia técnica, mantiene mucha interacción con el exterior. Por ejemplo, un asistente puede recibir muchos correos de desconocidos que quieren contactar con el CEO o agendar reuniones, y eso lo convierte en un blanco ideal. Por eso la concienciación es fundamental: todos deben entender la amenaza y saber cómo actuar ante ella.

Leer también: Ransomware y Phishing: Las amenazas más comunes en Latinoamérica.

Picture of Pedro Pablo Merino

Pedro Pablo Merino

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.