AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

La IA domina el panorama de amenazas: Las cinco principales técnicas de ataque del SANS 2024 comparten un denominador común

admin

### Introducción

El Instituto SANS, reconocido por su liderazgo en formación y análisis de ciberseguridad a nivel mundial, ha publicado su informe anual sobre las principales técnicas de ataque detectadas durante 2024. Por primera vez en la historia del informe, las cinco amenazas más relevantes identificadas comparten un factor tecnológico esencial: la inteligencia artificial (IA). Este cambio de paradigma refleja cómo la IA se ha consolidado como una herramienta fundamental para los atacantes, redefiniendo tácticas, técnicas y procedimientos (TTP) en todos los niveles del ciclo de vida de las amenazas.

### Contexto del Incidente o Vulnerabilidad

En años anteriores, los informes de SANS solían mostrar una variedad de técnicas predominantes, desde explotación de vulnerabilidades en software legacy hasta phishing tradicional y ataques de ransomware con enfoques manuales. Sin embargo, el informe 2024 revela que los adversarios han encontrado en la IA un vector transversal que potencia la eficacia, escalabilidad y sofisticación de sus ataques.

La convergencia de IA con técnicas clásicas de intrusión, movimiento lateral y exfiltración de datos ha dado lugar a una nueva generación de amenazas. Esta tendencia se ve favorecida por la disponibilidad de modelos de IA generativa (como GPT-4, Llama 3 y Claude) y frameworks de automatización ofensiva que integran capacidades de aprendizaje automático, como los módulos de Metasploit y Cobalt Strike potenciados por IA.

### Detalles Técnicos

Las cinco principales técnicas de ataque identificadas por SANS en 2024, todas potenciadas o facilitadas por inteligencia artificial, son:

1. **Phishing de alta precisión mediante IA generativa**
Los atacantes emplean modelos de lenguaje avanzados para crear correos de phishing hiperpersonalizados, indistinguibles de comunicaciones legítimas. Se observan campañas que emplean GPT-4 o Llama 3 para analizar datos públicos y privados de las víctimas, generando emails con un nivel de suplantación sin precedentes.
– **MITRE ATT&CK:** T1566 (Phishing)
– **IoC:** Dominios creados ad hoc, cadenas textuales generadas por IA, patrones sintácticos no humanos.

2. **Deepfakes y suplantación de identidad audiovisual**
La IA permite la creación de vídeos y audios falsos (deepfakes) que facilitan ingeniería social avanzada, como fraudes al CEO o manipulación de sistemas de autenticación biométrica.
– **MITRE ATT&CK:** T1204 (User Execution), T1589 (Gather Victim Identity Information)
– **IoC:** Hashes de archivos deepfake, anomalías en metadatos multimedia.

3. **Automatización de exploits y pruebas de intrusión**
Plataformas ofensivas como Metasploit y Cobalt Strike han integrado módulos de IA capaces de identificar, adaptar y lanzar exploits en tiempo real, acelerando la explotación de vulnerabilidades conocidas y zero-days.
– **CVE destacadas:** CVE-2024-21762 (Fortinet), CVE-2023-23397 (Microsoft Outlook)
– **MITRE ATT&CK:** T1203 (Exploitation for Client Execution), T1190 (Exploit Public-Facing Application)
– **IoC:** Logs de automatización, patrones de escaneo masivo.

4. **Evasión de defensas mediante aprendizaje automático adversarial**
Algoritmos de IA se emplean para modificar malware y payloads en tiempo real, evadiendo sistemas EDR, IDS y motores antivirus basados en firmas y heurísticas.
– **MITRE ATT&CK:** T1027 (Obfuscated Files or Information), T1070 (Indicator Removal)
– **IoC:** Payloads polimórficos, entropía elevada en archivos.

5. **Reconocimiento y análisis de superficie de ataque con IA**
Los atacantes utilizan IA para mapear y analizar infraestructuras complejas, identificando activos y vulnerabilidades de manera eficiente mediante scraping, OSINT y análisis automatizado de configuraciones.
– **MITRE ATT&CK:** T1595 (Active Scanning), T1598 (Phishing for Information)
– **IoC:** Solicitudes automatizadas desde redes distribuidas, patrones de scraping.

### Impacto y Riesgos

La integración de IA en el arsenal ofensivo incrementa de forma exponencial la velocidad, precisión y alcance de los ataques. Según SANS, el 78% de los incidentes analizados en el primer semestre de 2024 implicaron alguna técnica respaldada por IA. Las empresas han reportado un aumento del 200% en campañas de phishing exitosas y un incremento del 150% en ataques de suplantación audiovisual respecto a 2023.

En el plano económico, se estima que los costes asociados a brechas mediadas por IA superarán los 14.000 millones de euros en Europa este año. La sofisticación alcanzada complica la detección y respuesta, poniendo en jaque las estrategias tradicionales de ciberdefensa.

### Medidas de Mitigación y Recomendaciones

SANS y expertos del sector recomiendan las siguientes acciones:

– **Implementar soluciones de defensa aumentada por IA**: Herramientas EDR y SIEM con detección basada en comportamiento y análisis de anomalías impulsados por IA.
– **Formación continua en amenazas emergentes**: Programas de concienciación que incluyan reconocimiento de deepfakes y phishing sofisticado.
– **Refuerzo de autenticación multifactor**: Preferiblemente con factores físicos (FIDO2, tokens hardware).
– **Monitorización proactiva de IoC y TTP**: Integración de feeds de inteligencia de amenazas específicos sobre campañas basadas en IA.
– **Auditorías regulares de superficie de ataque**: Uso de herramientas OSINT defensivas y pentesting automatizado.

### Opinión de Expertos

Analistas de SANS y especialistas de empresas como Mandiant y CrowdStrike coinciden en que la adopción de IA por parte de los cibercriminales es irreversible y se acelerará con la madurez de los modelos open source. Se destaca la necesidad de colaboración público-privada y la urgencia de ajustar el marco normativo (NIS2, GDPR) para abordar los nuevos riesgos derivados de la IA.

### Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que los ataques impulsados por IA no solo son más frecuentes, sino también más difíciles de detectar y contener. Los CISOs y responsables de compliance deben actualizar políticas de gestión de riesgo y procedimientos de respuesta, incorporando simulacros frente a amenazas generadas por IA y revisando los contratos con proveedores tecnológicos.

Para los usuarios, la recomendación es extremar la precaución ante contenidos multimedia y comunicaciones no verificadas, y utilizar siempre canales oficiales para la validación de identidad.

### Conclusiones

El informe SANS 2024 marca un punto de inflexión en el panorama de amenazas, confirmando que la inteligencia artificial ya no es solo un facilitador, sino el motor central de las técnicas ofensivas más letales. La carrera entre atacantes y defensores se libra ahora en el terreno de la IA, exigiendo una actualización urgente de estrategias, herramientas y competencias en toda la industria.

(Fuente: www.darkreading.com)