Mundo Financiero Seguro
Mundo Financiero Seguro
Ingeniería social 2.0: Cómo la IA redefine el fraude financiero
En este episodio abordaremos dos grandes líneas de reflexión. Primero, examinaremos si en la “era de la IA” nuestras defensas realmente son más robustas o si, por el contrario, seguimos expuestos a riesgos que evolucionan a la par de la tecnología.
Mundo Financiero Seguro, tu espacio para estar a la vanguardia en ciberseguridad, prevención de fraude, aml, fintech y gestión de riesgos. Descubre las últimas amenazas, innovaciones y herramientas clave para construir un futuro financiero más seguro. Únete a la conversación y transforma los desafíos en oportunidades. La inteligencia artificial, la IA ha irrumpido en el ecosistema tecnológico con una velocidad e impacto que superan las olas de innovación anteriores, desde la adopción de la Big Data hasta los inicios de la ciberseguridad moderna. Hoy, organizaciones de todos los tamaños están empezando a confiar en sistemas basados en la IA para automatizar procesos, optimizar flujos de trabajo y responder en tiempo real a incidentes de seguridad. Sin embargo, esa misma sofisticación ha atraído atacantes que emplean herramientas también de la IA para perfeccionar sus técnicas. Esto desde deepfakes hiperrealistas, realmente hasta bots conversacionales que escalan phishing y spear phishing con una personalización sin precedentes. Soy Juan José Ríos.
Speaker 1:Bienvenidos a Mundo Financiero Seguro, el podcast de PlusTip. En este episodio abordaremos dos grandes líneas de reflexión. Primero, examinaremos si, en la era de la IA, nuestras defensas transmites son más robustas o si, por el contrario, seguimos expuestos a riesgos que evolucionan a la par de la tecnología. Seguimos expuestos a riesgos que evolucionan a la par de la tecnología. Segundo, exploraremos la manera en que la IA ha redefinido los ataques de ingeniería social. Juntos vamos a conocer cómo la personalización masiva, los deepfakes, spear, phishing también están elevando la tasa de éxito de fraudes financieros, y juntos vamos a analizar las capas defensivas necesarias. Fraudes financieros y juntos vamos a analizar las capas defensivas necesarias. Hoy nos acompañan Deepak Daswani, que es experto en ciberseguridad, además ingeniero en informática y hacker ético reconocido en España y también internacionalmente. No-transcript.
Speaker 2:Ambos gracias por acompañarnos. Hola, Juan José. Muchas gracias por esta nueva invitación y pues estamos atentos a desarrollar este nuevo episodio.
Speaker 3:Muchas gracias, Hola, juan José¿ Qué tal. Muchísimas gracias por la invitación y nada aquí estamos expectantes para poder comentar todos estos detalles.
Speaker 1:Entramos en materia, y voy a comenzar contigo, deepak Cuéntanos por qué el cambio constante en tecnología puede incrementar nuestra vulnerabilidad.
Speaker 3:Bueno, juan José, a ver, la tecnología es algo que evoluciona constantemente y cuando se introducen mejoras o novedades o evolución, eso implica un riesgo, ¿no? Generalmente una de las cosas que nosotros tenemos claras, pero muchas veces olvidamos, es que la tecnología nunca es 100% segura, porque al final está hecha por personas y, a pesar de que existan ciclos de desarrollo seguro, cualidades, un montón de políticas y directrices para evitar que el código que se genera sea vulnerable, en muchos casos la tecnología incorpora vulnerabilidades y aún así es posible que sean detrás del paso del tiempo. Entonces cualquier cambio implica generalmente que pueda haber una posibilidad de introducir nuevas vulnerabilidades o errores o problemas que acaben redundando en riesgo para la organización. Mucho antes de la tecnología y el desarrollo y la evolución, queda capacidad que las organizaciones y los profesionales tienen de adaptarse a nuevas tecnologías, y esto hace que esas tecnologías puedan ser utilizadas sin las medidas de seguridad correctas y exponer por tanto, al final, al compromiso de los sistemas de la organización.
Speaker 3:Por otra parte, las tecnologías nuevas suelen ser menos maduras y a veces también sucede que al implementar tecnología nueva, tendemos a descuidar lo que ya estaba implementado, lo que se llama en el mundo del hacking, low hanging fruit, es decir los atacantes muchas veces buscan lo que son sistemas viejos, obsoletos o tecnologías antiguas sobre la cual, a lo mejor, no se está centrando mucho la organización, puesto que está más pendiente de esos sistemas nuevos, entonces todo esto redunda en que, al final, esta evolución de la tecnología nos pueda hacer más vulnerables.
Speaker 1:Sorprendente, ahora, álvaro, si a eso le sumamos que hoy la IA permite adaptar los ataques al perfil exacto de la víctima. Ya no hablamos solo de cantidad, sino de calidad en el engaño. Quiero preguntarte cómo potencia la IA la personalización en la ingeniería social? Sí, juan José mira.
Speaker 2:La inteligencia artificial realmente ha revolucionado la forma en que los delincuentes ejecutan ataques de ingeniería social, principalmente a través de la hiperpersonalización, se le denomina. Esto significa que los mensajes fraudulentos, que antes eran genéricos y fácilmente detectables, que tenían errores ortográficos o no estaban bien redactados, pues hoy pueden parecer completamente auténticos gracias a la capacidad de la inteligencia artificial para analizar grandes volúmenes de datos públicos y privados. Digamos que, por ejemplo, mediante el uso de algoritmos como el procesamiento de lenguaje natural, que es una de las tecnologías de inteligencia artificial, los atacantes pueden llegar a recolectar información de redes sociales, por ejemplo correos electrónicos que han sido filtrados, información que está en los foros, en los blogs Y hoy en día, como sabemos, muchas de las personas comparten mucha de esta información en redes, ¿verdad? Entonces, por esa razón, esta información que está disponible, pues se utiliza para construir esos perfiles psicológicos y profesionales que son muy detallados en el objetivo que son esas personas. Estos perfiles normalmente incluyen el tono habitual del lenguaje, los temas de interés, la estructura del equipo de trabajo, los apodos internos, inclusive hábitos cotidianos.
Speaker 2:Entonces, con esta información, los delincuentes generan un mensaje que imita realmente con mucha precisión no solamente el contenido, sino también el estilo de la comunicación que tiene una persona específica, su forma de hablar y su forma de expresarse Entonces o dentro de la organización, por supuesto, como puede ser un jefe directo o un socio de negocios ese contenido del mensaje en tiempo real, corrigiendo errores, mejorando la estructura para que realmente parezcan más legítimos. Y esa sofisticación hace que los filtros que hoy en día se tienen de spam y otras herramientas, es muy complicado detectarlos. En resumen, la IA está llevando esa personalización de la ingeniería social a un nivel en que esos mensajes fraudulentos pueden engañar incluso a los usuarios que están más altamente capacitados y obviamente se va a convertir en las amenazas de más difíciles para mitigar los riesgos.
Speaker 1:Actualmente, Nos queda muy claro, deepak, ahora, según tu experiencia, que es muy amplia, ¿por qué siguen ocurriendo incidentes pese a que la tecnología entre comillas es segura por defecto?
Speaker 3:Bueno, pues, el tema de por qué los incidentes se producen, se siguen produciendo cuando la tecnología ya es más segura por defecto es un tema paradójico. ¿por qué? Porque, como siempre digo yo, cuando hace 10 años los desarrolladores desarrollaban código, estaban sin querer introduciendo vulnerabilidades como SQL Injection, lfi, rfi, cross-site Descripting y otras muchas vulnerabilidades que, a lo mejor, si el programador no es consciente de que existen, puede estar abriendo la puerta a ellas. ¿qué es lo que pasa? Que, con los avances que hemos hecho en materia de seguridad en los últimos años, hemos desarrollado tecnología y código y frameworks que ya introducen funciones para evitar que estas vulnerabilidades se introduzcan en el código.
Speaker 3:Entonces, el mismo programador de hace 10 años, un programador junior de ahora que no tenga ningún conocimiento de seguridad, puede desarrollar tecnología que es segura y que va a ser muy complicado que introduzca vulnerabilidades por defecto, con lo cual toda esa puerta a ataques que atendan contra en la parte técnica es decir vulnerabilidades que pueden existir en protocolos, sistemas, tecnologías, dispositivos estándares está no cerrada. Porque se siguen produciendo? porque la tecnología no es 100% segura, como acabamos de decir hace un rato. Pero es más complicado, pero a la vez se siguen produciendo más incidentes. ¿por qué? Bueno, pues, siempre sucede que hay una parte de los incidentes que es combinación entre errores técnicos y errores humanos.
Speaker 3:Algunos errores humanos vienen por la parte técnica, es decir en mantener configuraciones inseguras por defecto, utilizar tecnología sin desplegada, sin parametrizar un montón de funcionalidades, vulnerabilidades que pueden haber, puertos abiertos, otras señas por defecto son algunos de los ejemplos servicios expuestos al exterior sin autenticación y un montón de cosas que, aunque la tecnología sea segura, hacen que favorezcan los incidentes. Y luego, como siempre, esa parte humana, esa interacción humana queda a pesar. También porque, es curioso, siempre estamos hablando de los ataques de phishing a los usuarios y los usuarios ya están concienciados, ya saben lo que puede pasar y aún así se siguen produciendo incidentes porque, como bien acaba de explicar Álvaro, las técnicas y la inteligencia artificial también favorece que muchos de estos incidentes se produzcan y sea más complicado detectar para los humanos que están siendo víctimas de un engaño.
Speaker 3:Entonces, al final, a pesar de que desarrollamos tecnología más segura, estamos expuestos a que se sigan produciendo incidentes y ese es el resultado de lo que tenemos a día de hoy. Por otro lado, también nos hemos acostumbrado a que esto sea parte del juego y en muchos casos también podemos actuar de manera descuidada, ¿no Entonces? bueno, esta es un poco la paradoja que se da respecto a los incidentes en los tiempos actuales.
Speaker 1:Y aquí entramos a una zona aún más delicada los deepfakes. Ustedes recordarán que hace unos años parecía que pasaba solo en películas, pero ahora los vemos en fraudes reales. Por eso quiero preguntarte, álvaro ¿qué son en específico los deepfakes y cómo lo utilizan los ciberdelincuentes?
Speaker 2:Digamos que estamos pasando de la ficción a la realidad. Es lo que está sucediendo hoy en día. Y los deepfakes? digamos que son una tecnología de generación de contenido audiovisual que se manipula a través de la ingeniería artificial, lo cual permite crear videos y audios falsificados con una fidelidad realmente muy, muy sorprendente. Digamos que esta técnica se basa en redes neurales profundas, específicamente en modelos generativos que pueden aprender a replicar la voz, los gestos y las expresiones faciales, inclusive los patrones del habla de cualquier persona. Digamos, con solo contar con unas pocas muestras de audio o video Un ejemplo 30 segundos de una grabación de una persona serían suficientes para que la inteligencia artificial pueda hacer esa generación de ese deepfake de la voz. Digamos que en el ambiente de fraude ya entrando al contexto financiero, pues los delincuentes han comenzado a utilizar estos deepfakes para suplantar identidades de figuras, como puede ser una autoridad o de confianza, como un directivo de una empresa, un CEO, un familiar, un representante de una institución Digamos que una de las estafas más conocidas es el llamado fraude de CEO, donde el atacante usa el deepfake para hacer creer a un empleado que está recibiendo, digamos, una instrucción directa de su jefe.
Speaker 2:Obviamente, ahí también se apoyan del concepto de autoridad. Y si ven que la persona que está al frente se parece y suena como su jefe, pues perfectamente no van a cuestionar esa condición. Digamos que la gravedad de este fenómeno radica en que ya no se trata de mensajes mal escritos o llamados sospechosos. Ahora las víctimas ven y oyen lo que realmente parece ser una comunicación legítima, que realmente está grabada o está dictada por su jefe o una persona de jerarquía, que es lo que suele suceder normalmente Y la confianza que genera ese rostro familiar y esa voz, pues es la que incluso personas entrenadas en seguridad pueden llegar a caer en esa trampa. Por eso el uso de Deep Face lo denominamos como que marca un antes y un después en el fraude por ingeniería social.
Speaker 1:Eso es lo que está sucediendo hoy en día.
Speaker 3:Qué interesante Y aunque la IA ha revolucionado las defensas. a veces no sé si les pasa. da la sensación que esperamos como mucho de ella, como si fuera una solución mágica. Ahora quiero preguntar por qué la IA no es una solución Deepak mágica para eliminar la vulnerabilidad? un montón de funcionalidades realmente increíbles, ¿no?
Speaker 3:Es decir la manera en la que los sistemas, los asistentes conversacionales basados en las principales guías generativas pues CharGPT, cloud, deepseq, vamos al final tiene una potencia increíble para hacer muchísimas tareas, desde análisis de información, ayudarnos con código que se genera, el procesamiento de lenguaje natural, vídeo, música, un montón de aplicaciones, un montón de entornos.
Speaker 3:pero no dejan de ser una herramienta que se añade a ese tablero del juego del que estábamos hablando, que utilizan tanto los malos para poder perfeccionalizar sus ataques y sofisticarlos, como incluso como se utilizan a nivel de fabricante para inteligencia de amenaza, hacer hunting y un montón de otras técnicas que se utilizan para poder hacer que los sistemas sean más seguros o detectar todo este tipo de incidentes. pero es al final, una ventaja competitiva más con la que jugamos tanto en un lado como en el otro para poder seguir operando en este sentido, pero no nos exime de que las cosas pasan. Al final es como una carta más que se tiene en la partida un comodín que usan todos, entonces bueno, de alguna manera, quien no aplicarla te deja atrás en ese combate, pero aplicarla tampoco te pone en el lado ganador, es por explicarlo de una manera sencilla en ese combate, pero aplicarla tampoco te pone en el lado ganador es por explicarlo de una manera sencilla.
Speaker 1:Siguiendo esta misma línea, cuéntanos, Álvaro, ¿en qué consiste el Spirit Fishing hiper personalizado?
Speaker 2:Sí, mira el Spirit Fishing, digamos que es una modalidad de phishing que está dirigida específicamente a individuos o personas que tengan cargos claves dentro de una organización. Digamos que ese es el enfoque principal, porque finalmente el Spirit Fishing lo podrían revisar a cualquier persona, pero normalmente lo enfocan hacia personas claves dentro de una organización, como puede ser un director, un gerente de finanzas o un administrador de sistemas Y, a diferencia del phishing tradicional, el cual lanza mensajes genéricos a ver quién cae, porque es lo que es el phishing, pescando a ver quién cae y pues que pueda tener alguna tasa de éxito, en este caso el spear phishing hiperpersonalizado se basa en una investigación profunda de la persona o del individuo para aumentar la efectividad Y con la ayuda de la inteligencia artificial, pues este tipo de ataques alcanza a niveles de sofisticación realmente muy importantes. La clave de ese spear phishing es que no solo copia la estética o redacción de mensajes legítimos, sino que también, digamos, se alinea perfectamente con el contexto del usuario y la organización O sea muy, muy focalizado, con mucho conocimiento. Puede mencionar nombres de colegas, proyectos, fechas relevantes, frases, todas estas características y todo esto se reduce significativamente, digamos, en señales de alerta, que en algún momento reduce esa señal de alerta y puede llegar a generar una sospecha. Es lo que suele suceder.
Speaker 2:Además, estos lenguajes, como ChatGPT o similares, digamos que pueden generar mensajes de forma automática en distintos idiomas, corrigiendo errores gramaticales, ajustando el contenido, la forma en que hablamos, a pesar de que todos aquí, en este contexto, estamos hablando español, pues evidentemente hay dichos modismos en cada país. Entonces, eso, lo que hace la herramienta es ajustarse a esas características propias del país para, obviamente no generar alguna sospecha. Y lo anterior hace que los sistemas tradicionales de seguridad, como los filtros o el entrenamiento básico de perfiles, realmente lleguen a ser insuficientes Para protegerse de estas condiciones, pues las organizaciones y las personas deben implementar controles adicionales de verificación de enlaces, anomalías, contenido y tener otras alternativas, no depender solamente los procesos tradicionales de que a través de una llamada telefónica autorizada a una transferencia a fondos, pues ya no debería estar siendo de esa manera. Hay que tener otros controles adicionales y de eso se trata los modelos nuevos de múltiples factores de validación, precisamente para mitigar esas condiciones.
Speaker 1:Siguiendo esta misma línea. ahora, deepak, cuando hablamos de ponernos en los zapatos del atacante, surgen conceptos como el Red Team.
Speaker 3:Me gustaría Dipa que lo aterrizaras para quienes no están tan familiarizados En concreto, ¿qué es un ejercicio de Red Team y qué añade frente a un PES Team tradicional? Bueno, a la hora de evaluar la seguridad de un sistema, de una infraestructura tecnológica, tradicionalmente el enfoque bueno. Existen más enfoques, como otro tipo de análisis, más en el regulatorio, pero a nivel técnico hacemos lo que se llama auditoría de seguridad, pentesting o hacking ético, que ya de por sí son pruebas reales en las que se intenta analizar las vulnerabilidades que tiene un sistema para comprometerlo y no generar falsos positivos. Es decir, no solo se aplica un escáner de vulnerabilidades para ver qué puertos y servicios están expuestos, de cara a ver si esos servicios son vulnerables porque tienen corriendo funciones de software y esas de software que puedan tener vulnerabilidades y no estén parcheadas, sino que se intentan explotar activamente esas vulnerabilidades para además ver hasta dónde se puede llegar.
Speaker 3:Existen diferentes aproximaciones y enfoques auditorías de seguridad externa, interna, y son pruebas que se contratan y son reales y eminentemente técnicas. De hecho, yo durante muchos años he realizado y sigo realizando estas auditorías de seguridad para muchas organizaciones y además, bueno, permiten realmente conocer hasta qué punto un sistema es vulnerable, pero igualmente tienen una limitación de alcance o incluso, aunque no se pactase una limitación de alcance, se sabe cuándo empiezan y cuándo acaban y se coordinan con los equipos de seguridad de las organizaciones. Incluso se dejan, a lo mejor, determinados servicios sin tocar para no afectar la operatividad organización, porque al final estamos hablando de pruebas intrusivas que pueden generar muchísimos problemas. Bueno, el enfoque más moderno es este enfoque Red Team, que lleva a estas pruebas un paso más allá. Ya no buscamos vulnerabilidades de manera coordinada sobre algunos activos de la organización, sino que directamente vamos a intentar combinar el análisis de vulnerabilidades, el encontrar esas vulnerabilidades, pero además con otro tipo de factores ataques al usuario, recopilación de información, inteligencia, sperphishing, inteligencia artificial utilizada para ese tipo de ataques. Se simula un ataque. Por eso se llama Red Team.
Speaker 3:¿no, como lo haría el atacante con todo tipo de armas, es decir, las auditorías de seguridad tradicionales del Pentastic también lo hacen como desde la perspectiva del atacante, intentando combinar vulnerabilidades para elevar privilegios y todo esto. Pero el Red Team te da un paso más allá. No se avisa a la organización, no se pacta. Es decir, imaginaos que vosotros contratáis un ejercicio de Red Team. Pues no hay un plazo.
Speaker 3:A lo mejor hay un plazo de seis meses, de un año en el que nosotros vamos a estar realizando ese tipo de pruebas de manera ininterrumpida o interrumpida, es decir a intervalo, y además diferentes tipos de pruebas en las que no vamos a tener ningún tipo de consideración. Lo vamos a hacer como lo hacían los atacantes, y con esto se obtiene un enfoque mucho más real de hasta qué punto está expuesta la organización. Y a lo mejor no se busca dar toda la información de todas las vulnerabilidades, sino simplemente decir oye, vamos a ver, vamos a hacer un ejercicio de retin para ver si podemos comprometer la cuenta del cero o podemos acceder a la información confidencial de determinado proyecto o este tipo de cosas, ¿no? Y es una de las aproximaciones que se está utilizando en el mundo de la seguridad para poder hacer frente a los ataques complejos y sofisticados que tenemos a día de hoy.
Speaker 1:Bueno, por otro lado, hay una tendencia fuerte, muy fuerte, hacia mecanismos de defensa más silenciosos. Bueno, podemos mencionar autenticación pasiva, análisis de comportamiento, cosas que, por supuesto, no interrumpen al usuario. En ese sentido, Álvaro, ¿qué papel juega la autenticación pasiva y el análisis de comportamiento buscando la defensa?
Speaker 2:autenticación pasiva y el análisis de comportamiento buscando la defensa. Sí, juan José, mira. Digamos que hoy hemos hablado bastante de riesgos y amenazas, pero afortunadamente también hay otras opciones de mitigación y de contención, en este caso la autenticación pasiva y el análisis de comportamiento, digamos, que son componentes esenciales en las estrategias modernas de ciberseguridad, que son componentes esenciales en las estrategias modernas de ciberseguridad. Especialmente, digamos que, frente a amenazas sofisticadas como las que están impulsadas por la IA, que hemos estado comentando, a diferencia de métodos tradicionales, digamos, que exigen acciones explícitas del usuario, como ingresar una contraseña o un código, estos mecanismos de autenticación pasiva y análisis de comportamiento funcionan en segundo plano, es decir no requieren ninguna interacción por parte del usuario para recopilar señales e información que da contexto y permite validar la identidad y el perfil de esa persona sin generar fricción de cara a la experiencia del usuario.
Speaker 2:Uno de los pilares de la autenticación pasiva, digamos, es la huella digital del dispositivo, lo que se denomina el device fingerprint. Este identifica características únicas del dispositivo, desde donde se está conectando, qué tipo de navegador, resolución de pantalla, el idioma. Toda esa información, combinado con sistemas de patrones de navegación, por ejemplo, como la velocidad de escritura, la ubicación geográfica, cómo utiliza el mouse, cómo utiliza el dispositivo móvil permite construir un perfil conductual único para cada usuario y de manera totalmente pasiva, es decir sin interferir al usuario final, y sigue usando sus aplicaciones de manera tradicional. Esta tecnología que estamos comentando, y cuando la potenciamos con modelos de machine learning que permiten tener ese perfil comportamental del usuario, pues es capaz de detectar patrones anómalos en tiempo real, que es una característica importante.
Speaker 2:Obviamente esto nos va a ayudar a frenar intentos de fraude, inclusive antes de que se lleguen a concretar, porque se integra con la estrategia de seguridad multicapa que define múltiples controles en un ciclo de vida transaccional en un momento dado. Digamos que, en resumen, la autenticación pasiva y este análisis del comportamiento son herramientas críticas en la era de la inteligencia artificial, porque nos van a permitir detectar amenazas que normalmente podían estar camufladas en los canales tradicionales y no vamos a afectar la experiencia del cliente. El usuario pareciera verse como él o escucharse como él, pero ya digamos que hoy en día la tecnología no ha llegado a comportarse de cómo interactúa con sus dispositivos o cuáles son esos perfiles. Entonces eso todavía es una ventaja para ser utilizada como medida de mitigación.
Speaker 1:Ahora hablemos de este mundo tan cambiante, las organizaciones pueden sentir que están como que se están quedando atrás. Quiero presentar esta pregunta Cómo deben adaptar a TIPAC sus recursos y su enfoque para mantenerse a la altura de estas amenazas que, por supuesto entendemos, cada vez son más complejas?
Speaker 3:no-transcript. es decir cómo hacer que esto no nos pille Y al final, generalmente la respuesta, si la pensamos en la misma, es de hace unos años. Es decir, la ciberseguridad es un proceso continuo. Una de las patas importantísimas que no tiene, que en muchos casos pasa desapercibida, es la de formar y concienciar a los usuarios, es decir formar a los trabajadores con la tecnología nueva que está viniendo, porque al final la tecnología evoluciona constantemente, como hemos dicho, y si los trabajadores no están formados en el uso de las nuevas herramientas pueden llegar a facilitar la puerta de entrada a los ciberdelincuentes. incluso, aunque tengamos los sistemas más seguros, la tecnología más seguros y todas las herramientas de los grandes fabricantes de seguridad que nos protegen, se supone un montón de amenazas, pero al final, si no están bien implementadas, no nos garantizan que podamos estar haciendo frente correctamente a los incidentes que se nos pueden venir. Luego, revisar procesos, no solo tecnología. Muchas veces los incidentes vienen por procesos que no están siendo bien acometidos, como el parcheo de esa buena habilidad, de la gestión de alguna habilidad, o que las empresas no estén preparadas y tengan un plan de respuesta incidente real ante el tipo de amenazas al que nos estamos exponiendo a día de hoy.
Speaker 3:Luego, por supuesto, adoptar la tecnología con cabeza. En muchos casos lo que sucede en las organizaciones es que se intenta aprovechar lo moderno, implementarlo moderno, porque al final, para no quedarnos atrás, lo que hacemos es incorporar toda nueva tecnología que se viene, que se sucede, y en muchos casos la adopción de esa tecnología realmente no supone una ventaja o un avance, sino que puede incurrir o introducir nuevos problemas de seguridad por no estar realmente incorporando la tecnología que necesitamos y estar aumentando la superficie de ataque. nuevos vectores de ataque Y bueno, lo que decimos? por ejemplo, una de las cosas de las que vamos a hablar ejercicio de red team frente a pen testing, ataque de phishing controlado sobre la organización, threat hunting, es decir inteligencia, amenaza en vez de esperar logs.
Speaker 3:seguridad en el diseño en vez de seguridad a otro nivel, es decir intentar incorporar la seguridad a todos los niveles. Aún así, con todo esto no estamos a especias a garantizar la seguridad al 100%, pero sí que las organizaciones están más preparadas para reaccionar ante los incidentes que se nos vienen. No es cuestión de comprar más tecnología y de ir gastando recursos económicos en tener lo último y lo nuevo, sino usar mejor lo que ya tenemos. Adaptarse no es gastar más, es pensar mejor. Es un poco el resumen de todo esto.
Speaker 1:Y siguiendo sobre esta línea, álvaro, aunque parezca básico, el concepto de defensa en capa sigue siendo un pilar. Quiero preguntarte entonces ¿por qué sigue siendo clave una estrategia multicapa?
Speaker 2:Mira, juan José. Digamos que en el actual entorno digital, ningún control de seguridad por sí solo es capaz de detener todas las amenazas cibernéticas. Eso es una definición que está totalmente establecida. Esta realidad pues, digamos, lleva a que las organizaciones adopten estrategias multicapa que combinan diferentes tecnologías, procesos, elementos, características, personas para crear una defensa robusta y adaptable. Digamos que una estrategia multicapa se basa en la idea de que, si un control falla, pues otros controles pueden actuar como barreras sucesivas. Por ejemplo, un filtro de correo electrónico con inteligencia artificial puede detectar y bloquear mensajes sospechosos, pero si uno se llega a pasar, hay un esquema que podría ser una autenticación de doble factor o multifactor para evitar el acceso no autorizado. Entonces ahí vemos que no solamente dependemos de un control, sino hay varias opciones de validación Y si esta, por alguna razón, se llegara a vulnerar, entonces el análisis de comportamiento puede detectar la actividad inusual y bloquear esas operaciones antes de que se concreten. Entonces ahí estamos hablando de múltiples capas Adicional. Estas capas, digamos que no se limitan a la tecnología.
Speaker 2:Ya lo comentó hace un momento Deepa toda la parte de capacitación continua de usuarios, simulacros, análisis y procesos de hacking ético, simulacros de phishing, políticas de verificación de operaciones críticas y monitoreo en tiempo real, es lo que va a permitir, pues, de que cada capa pueda responder en un punto de un ciclo, de un flujo transaccional determinado, para tener pues una prevención, detección y respuesta adecuada.
Speaker 2:Digamos que la combinación de herramientas, como pueden ser firewall de próxima generación, sistemas de detección de anomalías basadas en modelos de machine learning, autenticación pasiva que ya la discutimos análisis de fraude en tiempo real y, obviamente, todo basado en unas políticas de gestión de manera integral, pues permite adaptar el contexto y el comportamiento de todos esos flujos transaccionales, lo cual va a ser fundamental en una era donde estamos viendo que los ataques evolucionan de manera constante. En definitiva, la estrategia multicapa no solo mejora la seguridad, sino que aumenta la resiliencia de la organización para permitir detectar, resistir y recuperarse ante un incidente mayor con una rapidez obviamente mucho mejor establecida y coordinada y un menor impacto en el riesgo que está definiendo este ataque está definiendo este ataque.
Speaker 1:Luego de conocer y ampliar nuestro panorama, llegamos al momento de las conclusiones. Voy a comenzar contigo, Depak ¿Qué podemos concluir hasta el momento de lo que hemos desarrollado?
Speaker 3:Bueno, pues, la pregunta que nos hacemos ¿no? Seguimos siendo vulnerables en la era de la inteligencia artificial? y es curioso, ¿no? Porque, como hemos dicho ya hace un tiempo, la tecnología que se desarrolla es más segura por defecto. Cada vez es más difícil encontrar buena vía en los sistemas.
Speaker 3:Yo que me dedico a la parte ofensiva, lo experimento en mis carnes y es un poco frustrante para los que estamos técnicamente en esta historia, porque, claro, hablar a alto nivel, como hacemos aquí, pues, es sencillo, ¿no? Pero cuando tú quieres reproducir algo que, por ejemplo, ya sabías hacer lo comenté hace un rato, hace cinco años, de una manera determinada resulta que eso ya no funciona. Tienes que buscar otra forma de hacerlo técnicamente, porque afortunadamente, en términos de seguridad, se ha tapado esa vulnerabilidad en esa tecnología, o esa técnica está erradicada, es decir está contenida, o sea esa técnica de ataque ya no sirve desde el punto de vista ofensivo. Tienes que intentar poner a prueba los sistemas de organización o encontrar métodos para hacer ese trabajo, pero luego, a la vez, no llegamos al momento o al punto en el que podamos vivir en ese nivel de seguridad mayor. Es una paradoja que es súper compleja, porque a lo mejor la gente que no, pues no tiene ese conocimiento, pues más a bajo nivel de cómo funciona el mundo, la seguridad de la tecnología. No lo ha pensado, pero esta es la realidad.
Speaker 3:Los sistemas son más seguros por defecto. Tenemos herramientas como la inteligencia artificial, que habla de que va a sustituir a programadores junior en el futuro, y un montón de otras cosas. Veremos cómo evoluciona esto, porque yo creo que siempre va a hacer falta la inteligencia humana, ¿no? Pero por fortuna o por desgracia, seguimos siendo vulnerables.
Speaker 3:En algunas cosas somos mucho menos vulnerables o es mucho más difícil que se nos pueda comprometer la seguridad del sistema, dispositivos, tecnología o lo que sea.
Speaker 3:Pero por otro lado, la exposición a la tecnología hace que también seamos vulnerables en muchos sentidos Y, por ejemplo, una reflexión de esto es curioso porque precisamente la interconexión que tenemos en el mundo, es decir, cuanto más tiempo pasa, más conectados estamos y más expuestos y más dependientes somos de la tecnología y a la vez más vulnerables. Porque yo que vivo en España, hace un tiempo tuvimos un apagón general durante horas, siete horas, ocho horas del país completo. Supongo que muchos de nuestros oyentes son conscientes Y los problemas que ocasionó a todos los niveles fueron brutales, y esto, por ejemplo, hace diez años. Pues, también habría sido un caos brutal, pero quizás no tanto porque a lo mejor la exposición a la tecnología no habría sido tan grande como es ahora y seguirá más. La exposición a la tecnología no habría sido tan grande como es ahora y seguirá más. Entonces, esta paradoja de los sistemas más seguros por un lado, pero también más vulnerables por el otro, no sé cómo lo ves tú, juan José y Álvaro, pero es un poco la reflexión que yo hago a raíz de la información que tenemos.
Speaker 1:Escuchamos hasta ahora las conclusiones de Deepak Álvaro. cuéntanos cómo la IA redefine los ataques de ingeniería social.
Speaker 2:De acuerdo totalmente con Deepak. Estamos en una era bastante compleja, donde la línea entre lo real y lo falso pues, digamos que es cada vez más delgada. Digamos que es cada vez más delgada La ingeniería social, esa técnica que durante años ha explotado la psicología humana para engañar y manipular. Digamos que ha encontrado en la inteligencia artificial a su mejor aliado. Eso es una realidad y es imposible omitirla. Gracias a esa IA, los ciberdelincuentes pueden estudiar los hábitos, el lenguaje, las redes y usar todo eso en contra de las personas. ¿el resultado? Digamos un correo que parece enviado por el jefe, un audio que imita a la perfección la voz de un familiar o un mensaje que menciona detalles que solo alguien cercano sabría. Entonces así es como se construye esa nueva generación de fraudes precisos, creíbles y realmente muy devastadores. Ahora tampoco seamos pesimistas. ¿no? No, todo está perdido. También contamos con tecnología, autenticación pasiva, análisis de comportamiento, inteligencia artificial que nos ayuda a detectar comportamientos anómalos antes de que llegue a ser demasiado tarde. ¿no, anómalos antes de que llegue a ser demasiado tarde. Esas herramientas están ahí y realmente funcionan, siempre y cuando se usen como parte de una estrategia integral.
Speaker 2:Digamos una estrategia que entienda que la seguridad no se trata de una única barrera, sino de múltiples capas, que se complementan, que evolucionan y que aprenden. Y, sobre todo, también está el factor humano, porque, aunque la tecnología puede hacer mucho por nosotros, las personas son quienes debemos mantenernos informados, atentos, preparados y con una conciencia clara de las situaciones y nuestro entorno. La educación y la capacidad, digamos, de cuestionar lo que nos parece demasiado perfecto, digamos que hoy serían nuestras mejores defectas. Vemos temas que llegan a nuestros correos, a nuestras redes, donde debemos ya cuestionarte que eso tan bueno, como decimos no sé pronto si en los países lo manejan, pero de eso tan bueno no dan, tanto es como un dicho que tenemos acá en el país. Y ya, para cerrar, digamos la inteligencia artificial define que se han cambiado las reglas del juego y creo que nos toca aprender a jugar con ellas, protegernos en un mundo donde, digamos, la próxima gran estafa puede tener nuestra voz, nuestra cara o nuestras palabras. Muchas gracias, juan José.
Speaker 1:Como hemos escuchado y hemos aprendido, la inteligencia artificial puede acelerar nuestra defensa, pero no sustituye la necesidad de una cultura de seguridad y una disciplina operativa. Igualmente, solo con una arquitectura de defensa en profundidad tecnología, procesos y personas el sector financiero podrá mitigar el creciente arsenal de la inteligencia artificial al servicio de la ingeniería social y proteger eficazmente sus activos y su reputación. Gracias a nuestros expertos y especialmente a ustedes, nuestros escuchas, por acompañarnos en este Mundo Financiero Seguro. El podcast de Plus T. No olviden estar atentos a nuestros próximos episodios, donde continuaremos explorando los retos y estrategias clave para un sector financiero más seguro. Soy Juan José Ríos. Hasta la próxima.