En este 2024, hemos podido observar diversas tendencias que han marcado el año. Se ha evidenciado el crecimiento del malware como servicio, lo que ha facilitado la realización de ataques a gran escala. Por otro lado, el ransomware siguió siendo una de las amenazas más alarmantes para empresas y gobiernos, al igual que en años anteriores. Además, se destacó el uso de Telegram por parte de los cibercriminales.
Partiendo de este contexto y teniendo en cuenta los recientes avances tecnológicos e implementaciones observadas a lo largo de 2024, en este artículo, el Laboratorio de ESET Latinoamérica presenta las posibles tendencias que serán clave en el ámbito de la ciberseguridad para el año 2025.
En conclusión, anticipamos que el próximo año estará caracterizado por una creciente demanda de protección para los sistemas de Tecnología Operativa (OT), que son vitales para las infraestructuras críticas. Asimismo, el uso indebido de la IA generativa presentará nuevas amenazas. Estas temáticas estarán relacionadas con desafíos legales y éticos, que subrayan la necesidad de regulaciones más claras y eficaces.
Aplicaciones de la IA Generativa.
La IA generativa es, sin duda, una de las formas más utilizadas de inteligencia artificial en la actualidad. Se destaca por su habilidad para crear contenido variado, como textos, imágenes, videos, música y voces, lo que contribuye a mejorar la creatividad y la eficiencia en diferentes sectores. Sin embargo, los cibercriminales también la utilizan con fines nefastos, como la creación de deepfakes y la automatización y perfeccionamiento de ataques cibernéticos.
Las aplicaciones de IA generativa ya no son exclusivas para entornos técnicos; ahora están disponibles de manera accesible, a menudo de forma gratuita, para cualquier usuario que tenga un dispositivo inteligente.
A través de esta forma de inteligencia artificial, también es posible acceder a algoritmos de código abierto, adaptarlos, modificarlos y utilizarlos para diversos propósitos. La capacidad de automatizar tareas, crear o mejorar código malicioso, planificar campañas, entre otros, convierte esta tecnología en un atractivo para actores maliciosos, incluso para aquellos que son menos experimentados.
Recientemente, OpenAI, la empresa responsable de ChatGPT, ha publicado un informe titulado «Influence and Cyber Operations: An Update», en el que se describe cómo varios cibercriminales han empleado sus modelos de IA para llevar a cabo tareas intermedias en los ciberataques. Esto ocurre después de haber adquirido algunas herramientas básicas, pero antes de ejecutar sus ataques, ya sean de phishing o de distribución de malware, a través de diversos métodos.
En el mismo informe, la empresa señala que diversos grupos APT (Amenazas Persistentes Avanzadas) han empleado la tecnología para actividades como el depurado de código malicioso, la investigación de vulnerabilidades críticas, la mejora de técnicas de phishing, así como la creación de imágenes y comentarios falsos, entre otros.
Como resultado, para el 2025 podríamos anticipar la persistencia del uso de la IA generativa para mejorar campañas que comiencen con ingeniería social; la utilización de algoritmos para crear códigos maliciosos; el posible mal uso de aplicaciones de empresas que empleen algoritmos de IA de código abierto y, por supuesto, el avance en la sofisticación de los deepfakes, así como la potencial interacción con la realidad virtual.
Desafíos Éticos y Legales de la Inteligencia Artificial.
Frente a este crecimiento de la IA generativa y su potencial uso malicioso, aparecen desafíos legales y éticos que en su mayoría aún no han sido eficientemente abordados. ¿Quién es el responsable por los actos de la IA? ¿Qué limites debería imponerse a su desarrollo? ¿Qué organismo es competente para juzgarlo?
En la actualidad, hay escasas normativas internacionales que aborden las problemáticas emergentes del uso de la inteligencia artificial. Además, las que existen a menudo son insuficientes ante el rápido desarrollo de esta tecnología.
Entre las normas más destacadas podríamos mencionar al Acta de IA de la Unión Europea (existente desde 2023) que pretende garantizar la ética y transparencia, así como el desarrollo seguro y protección de derechos humanos, abordando la IA desde un enfoque basado en riesgos, clasificando algoritmos según su peligrosidad.
En paralelo, los EEUU cuentan con varios abordajes, desde una iniciativa nacional de IA, una Orden Ejecutiva para el uso seguro y confiable de la IA y un proyecto de carta de derechos de la IA que se encuentra en tratamiento.
A nivel LATAM no ha habido grandes avances durante el 2024 aunque la mayoría de los países cuentan al menos con decretos, salvo el caso de Perú que cuenta con una ley. Recientemente el Parlamento Latinoamericano y Caribeño ha propuesto una Ley Modelo que quizás inspire legislaciones a nivel interno.
Para el año 2025, es probable que se implemente un mayor escrutinio regulatorio sobre los algoritmos y modelos de inteligencia artificial. Esto buscará asegurar la transparencia y la explicabilidad, de modo que las decisiones tomadas sean comprensibles para las personas. Además, se trabajará en la protección de datos para salvaguardar la privacidad en el uso de la IA.
Se explorara la búsqueda de soluciones para los daños ocasionados por la inteligencia artificial, así como la promoción de un enfoque ético en el uso y desarrollo de esta tecnología a través de regulaciones. Además, continuarán los avances en las normativas relacionadas con la ciberseguridad y la cooperación internacional en este ámbito.
Sistemas de Control Industrial o Tecnología Operativa (OT).
Los OT son sistemas informáticos y dispositivos que se emplean para controlar procesos industriales y físicos en múltiples sectores, incluyendo energía, manufactura, agua y gas, entre otros. Estos sistemas supervisan equipos como PLC (Controladores Lógicos Programables) y SCADA (Sistemas de Control Supervisorio y Adquisición de Datos), con el objetivo principal de automatizar procesos.
La digitalización y la conectividad de estos sistemas los han convertido en objetivos atractivos y vulnerables a ciberataques. De hecho, ya se han registrado códigos maliciosos dirigidos a estos sistemas, entre los cuales destacan “Aurora” (una prueba del gobierno de EE. UU. que demostró por primera vez que un ciberataque podía causar daños físicos a un generador de energía) y “Blackenergy, Industroyer” (utilizados en Ucrania para atacar su red eléctrica), aunque, por supuesto, no son los únicos.
El NIST (Instituto de Estándares y Tecnología, del gobierno de EEUU) considera a la seguridad en OT un problema creciente y ha creado una guía que actualiza con regularidad.
En 2025, las tecnologías operativas (OT) adquirirán mayor relevancia en el ámbito de la ciberseguridad por diversas razones, destacando la conectividad entre dispositivos OT y la gran cantidad de datos que generan. Además, muchos de estos sistemas son esenciales para el funcionamiento de infraestructuras críticas, lo que los convierte en un objetivo atractivo para los delincuentes, ya que un ataque a esta tecnología podría provocar graves daños.
La creciente dependencia de estos sistemas crea la necesidad urgente de protegerlos, convirtiéndolos en una prioridad en el ámbito de la ciberseguridad.
Estas son las tendencias que consideramos serán fundamentales en la ciberseguridad para el próximo año, en un entorno complejo caracterizado por el aumento del uso de la inteligencia artificial generativa por parte del cibercrimen. Esto requerirá la adaptación de los sistemas de defensa y el progreso en marcos legales que respondan a las cuestiones planteadas por estas tecnologías, incluso en sus aplicaciones legítimas y beneficiosas.
Además, los ataques dirigidos a infraestructuras críticas continuarán siendo una preocupación importante. Los sistemas de Tecnología Operacional (OT) serán un objetivo principal debido a su interconexión y su papel crucial en sectores estratégicos. Es fundamental fortalecer su ciberseguridad, teniendo en cuenta la vulnerabilidad que han demostrado en conflictos recientes, donde su explotación ha acarreado graves consecuencias para las comunidades afectadas.