en la RSA conferencia de seguridad en San Francisco esta semana, ha habido una sensación de inevitabilidad en el aire. En charlas y paneles en el extenso centro de convenciones Moscone, en cada stand de proveedores en el piso de exhibición y en conversaciones informales en los pasillos, simplemente sabe que alguien va a mencionar la IA generativa y su impacto potencial en la seguridad digital y la piratería maliciosa. . El director de ciberseguridad de la NSA, Rob Joyce, también lo ha sentido.
“No se puede andar por RSA sin hablar de IA y malware”, dijo el miércoles por la tarde durante su presentación ahora anual “State of the Hack”. “Creo que todos hemos visto la explosión. No diré que se haya entregado todavía, pero esta es realmente una tecnología que cambia el juego».
En los últimos meses, los chatbots impulsados por grandes modelos de lenguaje, como ChatGPT de OpenAI, han hecho que años de desarrollo e investigación de aprendizaje automático se sientan más concretos y accesibles para personas de todo el mundo. Pero hay preguntas prácticas sobre cómo los malos actores manipularán y abusarán de estas herramientas novedosas para desarrollar y propagar malware, impulsar la creación de información errónea y contenido no auténtico, y expandir las habilidades de los atacantes para automatizar sus ataques. Al mismo tiempo, la comunidad de seguridad está ansiosa por aprovechar la IA generativa para defender los sistemas y obtener una ventaja de protección. En estos primeros días, sin embargo, es difícil desglosar exactamente lo que sucederá a continuación.
Joyce dijo que la Agencia de Seguridad Nacional espera que la IA generativa impulse estafas ya efectivas como el phishing. Dichos ataques se basan en contenido convincente y convincente para engañar a las víctimas para que ayuden a los atacantes sin darse cuenta, por lo que la IA generativa tiene usos obvios para crear rápidamente comunicaciones y materiales personalizados.
“Ese hacker nativo de Rusia que no habla bien inglés ya no va a crear un correo electrónico de mierda para sus empleados”, dijo Joyce. “Va a ser el idioma nativo en inglés, va a tener sentido, va a pasar la prueba del olfato… Entonces eso es lo que está aquí hoy, y estamos viendo adversarios, tanto del estado-nación como criminales, comenzando a experimentar con el Generación de tipo ChatGPT para brindarles oportunidades en el idioma inglés”.
Mientras tanto, aunque es posible que los chatbots de IA no puedan desarrollar malware novedoso perfectamente armado desde cero, Joyce señaló que los atacantes pueden usar las habilidades de codificación que tienen las plataformas para realizar cambios más pequeños que podrían tener un gran efecto. La idea sería modificar el malware existente con IA generativa para cambiar sus características y comportamiento lo suficiente como para que las herramientas de escaneo como el software antivirus no reconozcan y marquen la nueva iteración.
“Va a ayudar a reescribir el código y hacerlo de manera que cambie la firma y sus atributos”, dijo Joyce. «Eso [is] va a ser un desafío para nosotros en el corto plazo”.
En términos de defensa, Joyce parecía tener esperanzas sobre el potencial de la IA generativa para ayudar en el análisis y la automatización de big data. Citó tres áreas en las que la tecnología está «mostrando una promesa real» como un «acelerador para la defensa»: escanear registros digitales, encontrar patrones en la explotación de vulnerabilidades y ayudar a las organizaciones a priorizar los problemas de seguridad. Sin embargo, advirtió que antes de que los defensores y las comunidades lleguen a depender de estas herramientas en la vida diaria, primero deben estudiar cómo se pueden manipular y explotar los sistemas generativos de IA.
Principalmente, Joyce enfatizó la naturaleza turbia e impredecible del momento actual para la IA y la seguridad, y advirtió a la comunidad de seguridad que se «abroche el cinturón» para lo que probablemente vendrá.
“No espero alguna capacidad técnica mágica generada por IA que explote todas las cosas”, dijo. Pero «el próximo año, si estamos aquí hablando de un año similar en revisión, creo que tendremos un montón de ejemplos de dónde se ha armado, dónde se ha usado y dónde ha tenido éxito».