Ciberseguridad 360 | Ciberataque burla la seguridad de la IA y se dirige a redes empresariales

Los correos electr�nicos de robo de credenciales est�n burlando los controles de seguridad del correo electr�nico "buenos conocidos" de la inteligencia artificial camuflando cargas �tiles maliciosas dentro de correos electr�nicos aparentemente benignos. Esta t�ctica supone una amenaza significativa para las redes empresariales.

Ha surgido un nuevo m�todo de ciberataque denominado "Desbordamiento de conversaci�n", que intenta que los correos electr�nicos de phishing con captura de credenciales burlen las plataformas de seguridad basadas en inteligencia artificial (IA) y aprendizaje autom�tico (ML).

Seg�n los investigadores de amenazas de SlashNext, que han publicado hoy un an�lisis sobre esta t�ctica, los correos electr�nicos pueden escapar a la detecci�n de amenazas de los algoritmos de IA y ML mediante el uso de texto oculto dise�ado para imitar una comunicaci�n leg�tima. Se�alaron que se est� utilizando en una oleada de ataques en lo que parece ser un ejercicio de prueba por parte de los malos actores, para buscar formas de eludir las ciberdefensas avanzadas.

A diferencia de los controles de seguridad tradicionales, que se basan en la detecci�n de firmas "malas conocidas", los algoritmos de IA/ML se basan en la identificaci�n de desviaciones de la comunicaci�n "buena conocida".

As�, el ataque funciona de la siguiente manera: los ciberdelincuentes elaboran correos electr�nicos con dos partes diferenciadas: una secci�n visible que pide al destinatario que haga clic en un enlace o env�e informaci�n, y una parte oculta que contiene texto benigno destinado a enga�ar a los algoritmos AI/ML imitando la comunicaci�n "buena conocida".

El objetivo es convencer a los controles de que el mensaje es un intercambio normal, y los atacantes apuestan a que los humanos no se desplazar�n cuatro p�ginas en blanco hasta el final para ver la falsa conversaci�n no relacionada destinada �nicamente a los ojos de la IA/ML.

De este modo, los atacantes pueden enga�ar a los sistemas para que clasifiquen como seguro el mensaje completo y cualquier respuesta posterior, permitiendo as� que el ataque llegue a las bandejas de entrada de los usuarios.

Una vez que estos ataques burlan las medidas de seguridad, los ciberdelincuentes pueden utilizar la misma conversaci�n de correo electr�nico para enviar mensajes que parezcan aut�nticos y que soliciten a los ejecutivos que vuelvan a autenticar sus contrase�as e inicios de sesi�n, facilitando as� el robo de credenciales.

Explotaci�n de la detecci�n de anomal�as "buenas conocidas" en ML

Stephen Kowski, field CTO de SlashNext, afirma que la aparici�n de los ataques Conversation Overflow" pone de manifiesto la capacidad de adaptaci�n de los ciberdelincuentes para burlar las medidas de seguridad avanzadas, sobre todo en la era de la seguridad por IA.

"He visto este estilo de ataque solo una vez antes a principios de 2023, pero ahora lo estoy viendo m�s a menudo y en diferentes entornos", explica. "Cuando los encuentro, se dirigen a altos directivos y ejecutivos".

Se�ala que el phishing es un negocio, por lo que los atacantes quieren ser eficientes con su propio tiempo y recursos, dirigi�ndose a cuentas con el mayor acceso o la mayor autoridad impl�cita posible.

Kowski afirma que este vector de ataque debe considerarse m�s peligroso que el intento medio de phishing porque aprovecha los puntos d�biles de tecnolog�as nuevas y muy eficaces de las que las empresas podr�an no ser conscientes. Esto deja una brecha que los ciberdelincuentes pueden apresurarse a aprovechar antes de que los departamentos de TI se den cuenta.

"En efecto, estos atacantes est�n haciendo sus propias pruebas de penetraci�n en las organizaciones todo el tiempo para sus propios fines para ver lo que funcionar� y lo que no de forma fiable", dice. "F�jate en el pico masivo de phishing de c�digos QR hace seis meses: encontraron un punto d�bil en muchas herramientas e intentaron explotarlo r�pidamente en todas partes".

Y, de hecho, el uso de c�digos QR para entregar cargas maliciosas se dispar� en el cuarto trimestre de 2023, especialmente contra los ejecutivos, que vieron 42 veces m�s phishing de c�digo QR que el empleado medio.

La aparici�n de este tipo de t�cticas sugiere que es necesaria una vigilancia constante, y Kowski se�ala que ninguna tecnolog�a es perfecta y que no hay l�nea de meta.

"Cuando esta amenaza se comprenda bien y se mitigue todo el tiempo, los actores maliciosos se centrar�n en un m�todo diferente", afirma.

Utilizar la IA para combatir las amenazas

Kowski aconseja a los equipos de seguridad que respondan realizando activamente sus propias evaluaciones y pruebas con herramientas para encontrar "inc�gnitas desconocidas" en sus entornos.

"No pueden dar por sentado que el proveedor o la herramienta que hayan elegido, aunque fueran eficaces en el momento de adquirirlos, seguir�n si�ndolo con el tiempo", advierte. "Esperamos que los atacantes sigan siendo atacantes, que innoven, pivoten y cambien sus t�cticas".

A�ade que es probable que las t�cnicas de ataque se vuelvan m�s creativas, y a medida que el correo electr�nico se vuelve m�s seguro, los atacantes ya est�n trasladando sus ataques a nuevos entornos, como los SMS o el chat de Teams.

Kowski afirma que ser� necesario invertir en soluciones de ciberseguridad que aprovechen el ML y la IA para combatir las amenazas impulsadas por IA, explicando que el volumen de ataques es demasiado alto y cada vez mayor.

"Las econom�as del mundo de la seguridad requieren necesariamente invertir en plataformas que permitan a los recursos [humanos] relativamente caros hacer m�s con menos", afirma. "Rara vez escuchamos de los equipos de seguridad que est�n consiguiendo un mont�n de gente nueva para hacer frente a estas crecientes preocupaciones".

Fuente: darkreading.com