Este 2024 diversas tendencias en ciberseguridad, incluyendo el auge del malware como servicio, que ha permitido la realización de ataques masivos, el empleo de Telegram por cibercriminales, así como l posicionamiento del ransomware como una de las amenazas más alarmantes en el entorno empresarial y gubernamental, definieron la agenda. A partir de este panorama y teniendo en cuenta los recientes avances tecnológicos e implementaciones observadas a lo largo del año, el Laboratorio de Investigación de ESET presenta las tendencias que serán fundamentales en el ámbito de la ciberseguridad para el año venidero.
Según indica Fabiana Ramírez Cuenca, Investigadora del Laboratorio de ESET Latinoamérica, “El 2025 teorizamos que estará marcado por la creciente necesidad de protección de los sistemas OT (Tecnología Operativa), esenciales para infraestructuras críticas. Además, el uso malicioso de la IA generativa planteará nuevas amenazas. Estas cuestiones estarán ligadas a desafíos legales y éticos que plantean la necesidad de regulaciones más claras y efectivas”.
La inteligencia artificial generativa es posiblemente la forma de inteligencia artificial más utilizada en la actualidad, sobresaliendo por su habilidad para producir contenido como textos, imágenes, videos, música, voces y otros, lo que, por ejemplo, facilita la mejora de la creatividad y la eficiencia en varias industrias. No obstante, los delincuentes cibernéticos también la utilizan con intenciones perjudiciales, como la elaboración de deepfakes y la automatización y perfeccionamiento de ataques digitales. Mediante este tipo de IA se puede acceder a algoritmos de código abierto, adaptarlos, modificarlos y utilizarlos para diversos propósitos. La capacidad de automatizar tareas, generar o mejorar código malicioso, planificar campañas, entre otros, convierte a esta tecnología en algo atractivo para actores malignos, incluso aquellos con menos experiencia.
OpenAI, la entidad responsable de ChatGPT, ha publicado recientemente un informe titulado Influence and cyber operations: an update, en el cual se detalla de qué manera varios cibercriminales han hecho uso de sus modelos de inteligencia artificial para desempeñar actividades de etapas intermedias en los ciberataques. Esto ocurre después de haber obtenido herramientas elementales, pero antes de llevar a cabo sus ofensivas, ya sean de phishing o de distribución de software malicioso, a través de diferentes métodos. En el mismo reporte, la empresa señala que diversos grupos APT (Amenazas Persistentes Avanzadas) han aprovechado esta tecnología para, entre otras cosas, realizar el debugging de código malicioso, investigar vulnerabilidades críticas, mejorar técnicas de phishing, así como generar imágenes y comentarios falsos.
Como parte de las tendencias en ciberseguridad, “podríamos esperar para el 2025 la continuidad del uso de la IA generativa para la mejora de campañas que inicien con ingeniería social; el aprovechamiento de los algoritmos para el diseño de códigos maliciosos; el posible abuso de aplicaciones de compañías que usen algoritmos IA open source y, por supuesto, la sofisticación de los deepfakes y la posible interacción con la realidad virtual”, explica Ramírez Cuenca.
Ante el aumento de la inteligencia artificial generativa y su posible utilización negativa, surgen retos legales y éticos que en su mayoría todavía no han sido tratados de manera eficiente. Entre estos se presentan preguntas como quién asume la responsabilidad por las acciones de la IA, qué restricciones deberían establecerse en su avance, o qué entidad es la adecuada para evaluarlo. En este momento, hay muy pocas regulaciones a nivel global que traten las problemáticas emergentes del uso de la IA, y las que existen a menudo resultan inadecuadas ante un contexto de rápida evolución de esta tecnología.
Entre las regulaciones más relevantes se destaca el Acta de IA de la Unión Europea (vigente desde 2023), que busca asegurar la ética y la transparencia, así como el desarrollo seguro y la salvaguarda de los derechos humanos, analizando la IA con un enfoque fundamentado en riesgos y categorizando los algoritmos de acuerdo a su nivel de peligrosidad. Al mismo tiempo, EE. UU. dispone de diversas estrategias, que incluyen una iniciativa nacional de IA, una Orden Ejecutiva destinada a un uso seguro y confiable de la IA, y un proyecto de carta de derechos de la IA que está en fase de discusión.
En Latinoamérica no se han observado significativos progresos en el 2024, aunque la gran parte de las naciones dispone por lo menos de decretos, excepto el caso de Perú que tiene una ley vigente. Recientemente, el PARLATINO ha sugerido una Ley Modelo que podría motivar normativas a nivel regional.
“Para el 2025 es probable que a nivel regulatorio haya un mayor escrutinio en Algoritmos y Modelos de IA para garantizar transparencia y explicabilidad -que sus decisiones puedan ser comprendidas por las personas-, esto de la mano de la protección de datos para garantizar la privacidad en el uso de la IA. Veremos la búsqueda de soluciones para los daños generados por la IA y la promoción desde lo regulatorio de la ética en el uso y desarrollo de esta tecnología. También seguirán los avances en regulaciones sobre ciberseguridad aplicadas a la temática y en materia de cooperación internacional”, precisa Fabiana Ramírez Cuenca.
Los OT son dispositivos y sistemas informáticos que se emplean para manejar procesos industriales y físicos en múltiples industrias, tales como la manufactura, el agua, la energía y el gas, entre otros. Estos sistemas supervisan equipos como PLC (Controladores Lógicos Programables) y SCADA (Sistemas de Control y Adquisición de Datos), siendo su objetivo primordial la automatización de procesos.
La conexión y digitalización de estos sistemas los ha hecho tanto atractivos como susceptibles a ataques cibernéticos. En realidad, ya han sido detectados programas maliciosos dirigidos a estos sistemas, entre los cuales se destacan “Aurora” (una prueba del gobierno de Estados Unidos que evidenció, por primera vez, que un ataque cibernético podía provocar daños físicos en un generador eléctrico) y “Blackenergy, Industroyer” (empleados en Ucrania para asediar su infraestructura eléctrica), aunque, por supuesto, no son los únicos ejemplos. El NIST (Instituto Nacional de Estándares y Tecnología de los Estados Unidos) considera que la seguridad en OT es un problema en aumento y ha desarrollado una guía que se actualiza de manera regular.
En el año 2025, las tecnologías operativas (OT) adquirirán una importancia creciente en las tendencias en ciberseguridad por diversas razones, entre las cuales se resalta la conectividad previamente indicada entre dispositivos OT y el enorme volumen de datos que estos recopilan. Además, numerosos sistemas de este tipo son esenciales para el funcionamiento de infraestructuras críticas, lo que convierte su ataque en un objetivo atractivo para los delincuentes, ya que dicho ataque podría provocar daños significativos.
“Estas son las tendencias que teorizamos serán centrales en la ciberseguridad para el próximo año, un escenario desafiante marcado por el crecimiento del uso de la inteligencia artificial generativa por parte del cibercrimen. Esto exigirá adaptar los sistemas de defensa y avanzar en marcos legales que aborden los interrogantes abiertos por estas tecnologías, incluso en sus usos legítimos y beneficiosos. Además, los ataques a infraestructuras críticas seguirán siendo una preocupación. Los sistemas OT serán el objetivo clave, por su interconexión y su rol esencial en sectores estratégicos. Fortalecer su ciberseguridad será prioritario, considerando su vulnerabilidad demostrada en conflictos recientes, donde su explotación ha tenido graves consecuencias para las poblaciones afectadas”, concluye Ramírez Cuenca, de ESET Latinoamérica.
