“Hay una iglesia de creyentes de la inteligencia artificial (IA) y hay que tener cuidado con eso”: con esta advertencia abrió este año la conferencia inaugural de Ekoparty Iván Arce, histórico investigador de ciberseguridad argentino. Entre asistentes de todas las edades, estaciones para hackear computadoras y sospechosas notificaciones de bluetooth que les llegaron a todos a sus celulares, la conferencia abrió su edición 19 este miércoles a las 10 de la mañana.
La conferencia inaugural de Arce fue un repaso desde el mundo de la “seguridad informática” de la década del 90 hasta el escenario actual, donde ya se habla de “ciberseguridad”, un término más actual que abarca áreas más específicas de la seguridad de los equipos, sean laptops, celulares o PC.
“La inteligencia artificial resuelve problemas, pero hay que intentar entender cómo los resuelve. La IA cambió las dinámicas de la ciberseguridad y es un poco aterrador lo que está sucediendo”, advirtió Arce, en relación a la gran cantidad de servicios que están aplicando modelos de aprendizaje automático sin tener en cuenta la gran cantidad de hackeos asistidos con IA que se pueden implementar en la actualidad.
Esto se pudo comprobar durante todo el primer día de la conferencia, donde distintas charlas, tanto de investigadores independientes como de sponsors, advirtieron sobre vulnerabilidades para los usuarios a partir de distintas IA.
La IA generativa: ¿aliada, enemiga o ambas?
Iván Arce fundó la empresa Core Security Technologies, pionera en ciberseguridad. Foto: Prensa EkopartyUno de los problemas más visibles del uso de inteligencia artificial generativa tiene que ver con la gran cantidad de herramientas que se están usando tanto para escribir código malicioso (malware) como para cometer estafas del tipo phishing (suplantar páginas webs legítimas para robar datos o dinero de cuentas de usuarios).
“Si no sabes cómo hackear, podés ir a la IA generativa y podés pedirle que desarrolle una app o lo que sea, y lo escribirá para vos. O mejor: te enseñará a hacerlo. Esto es un problema porque amplía lo que se conoce como ‘superficie de ataque’. Para los que están en seguridad defensiva, el trabajo se complica mucho más”, planteó a Clarín Tom Tovar, Ceo de Appdome, una plataforma de ciberseguridad presente en Ekoparty.
“¿Star Wars o Black Mirror?”: se preguntó Alejandro Botter, gerente de ingeniería de la empresa de ciberseguridad Check Point para el sur de Latinoamérica en una charla en la que explicó de qué manera se está utilizando la IA para atacar a usuarios.
“En una investigación reciente de Check Point se mostró cómo con ChatGPT 4 se pudo hacer una página de phishing tremendamente bien hecha. Entonces tenés, en primer lugar, una mejora en la sofisticación de técnicas que ya se usaban manualmente, pero ahora automatizadas”, explicó a este medio.
“El segundo punto es que hay muchas más campañas de phishing porque hay herramientas específicas como WormGPT y FraudGPT que se venden en la dark web por entre 100 y 500 dólares. Entonces o bien se pueden bypassear las medidas de seguridad, o bien directamente usar código diseñado para ser ofensivos”, siguió.
En esto coincidió Pedro Adamović, jefe de ciberseguridad (CISO) de Banco Galicia en Argentina: “Phishing y malware son los ataques más viejos y siguen siendo los número uno, porque hoy hablamos de phishing y ransomware. Es increíble que no lo podamos resolver”, reflexionó en diálogo con este medio.
“Con la inteligencia artificial, mi visión es que va a venir una ola mucho más grande de ciberataques. Vos hoy podés decirle a ChatGPT que te haga un sitio de phishing y te dice ‘no, yo no puedo hacer eso’. Pero si le decís ‘haceme un phishing para ayudar a concientizar’, lo puede hacer”, siguió el experto.
Alejandro Botter, de Check Point Research. Foto Guillermo Rodríguez AdamiSin embargo, los dos especialistas coincidieron en que la IA también brinda herramientas para combatir estos problemas: «Hoy se habla de programas zero phishing que apuntan a tener la capacidad de registrar ciertos indicadores, desde el iconito de la solapa de tu navegador hasta si una URL es segura o no, cuándo se creó un dominio y demás: todo eso se hace con un sistema de IA que se puede usar para contrarrestar estos ataques», explicó Botter.
«En lo bancario, la IA sirve para contrarrestar a la IA: se pueden registrar transacciones y hasta la biometría de un usuario, cómo tipea o mueve el mouse, para recolectar información y lanzar una advertencia si hay algo sospechoso», agregó Adamović.
Así, la discusión por los sistemas que se están desarrollando masivamente desde la explosión de ChatGPT preocupa a los hackers y analistas. Este año, Maria Markstedter, investigadora experta en ciberataques y vulnerabilidades, alertó sobre el estado de la cuestión en su conferencia inaugural en Black Hat, uno de los eventos de hackers más grandes del mundo.
Las herramientas disponibles, coinciden varios expertos, se están usando tanto para atacar como para defender, “dos partes inescindibles de un mismo proceso”, según dijo Arce en la conferencia inaugural.
“Los humanos, ¿van a seguir siendo importantes?”, preguntó Arce. Y citando al científico de la computación estadounidense Alan Kay, cerró: “La mejor forma de predecir el futuro es inventarlo”.
Ekoparty 19, día 1
Distintas estaciones para hackear equipos. Foto Guillermo Rodríguez AdamiLa vigésimo novena edición de la conferencia arrancó este miércoles, cerca de las 10 de la mañana, cuando una larga fila se formó en las inmediaciones del Centro de Convenciones Buenos Aires (Figueroa Alcorta 2099, al lado de la Facultad de Derecho) para asistir a la charla de Arce y a los stands de los “vendors”, como se dice en el rubro (empresas de ciberseguridad, otras relacionadas a la industria como telecomunicaciones).
Entre las charlas destacadas, Fabio Assolini, un investigador de la firma de ciberseguridad rusa Kaspersky, contó una campaña de hackeos masivos contra dispositivos Apple (lo que se conoce como “zero-day”). Más tarde, dos investigadores argentinos expusieron una charla que dieron este año en DEF CON sobre una vulnerabilidad en una cámara de seguridad muy vendida en Argentina.
Paralelamente se desarrollaron una gran cantidad de actividades dedicadas a áreas específicas de hacking: ingeniería social, hackeo de satélites, blue y red teaming (defensa y ofensa), hackeo de móviles y una sección sobre las implicancias y contextos legales del hacking (“A 1 bit de ir en cana”).
También salió el clásico “trencito de la alegría hacker”, una iniciativa llamada Wardriving que va registrando redes de WiFi vulnerables en la Ciudad de Buenos Aires para concientizar sobre los peligros de las redes públicas.
Y como toda conferencia de ciberseguridad, el primer día ya dejó sus perlitas: los asistentes que tenían el bluetooth abierto recibieron notificaciones solicitando conexiones de auriculares, Apple TV y otros dispositivos no solicitados. Además, la página oficial del Centro de Convenciones, donde se lleva a cabo Ekoparty hasta el viernes, fue hackeada y hasta el momento de la publicación de esta nota se encontraba caída.
Dos buenas razones para recordar que nunca es buena idea conectarse al WiFi de la convención, pero que tampoco suele ser buena idea subirse a redes desconocidas.
«Lockpicking», otra de las «villas» donde se practica la seguridad física. Foto Guillermo Rodríguez Adami