Anthropic denuncia la primera campaña de ciberespionaje orquestada por completo con inteligencia artificial
Los ciberdelincuentes consiguieron hacer en cuestión de minutos un trabajo que en circunstancias normales hubiese llevado semanas, o incluso meses de esfuerzo.
A lo largo de bastante tiempo, numerosos expertos han advertido sobre los riesgos para la seguridad que puede suponer la inteligencia artificial. No ya en el incremento de estafas comunes, sino desde un punto de vista más global. Algo que Anthropic, los responsables de Claude, acaban de confirmar. Ya ha sucedido, y han utilizado su propia IA para hacerlo.
Por desgracia, se trata de un acontecimiento célebre dentro del mundo de la ciberseguridad. Básicamente por un punto diferencial: ha sido la primera campaña de ciberespionaje que ha sido realizada casi de forma íntegra por medio de la IA. Los especialistas no han tenido reparos en desgranar cómo se ha llevado a cabo, y tampoco quién estaba detrás.
La campaña de ciberespionaje hecha con IA
Ha sido la propia Anthropic quien se ha hecho eco de lo sucedido. Según ellos, han sufrido la primera campaña de espionaje cibernético masivo orquestada mayoritariamente por una inteligencia artificial. Un grupo de hackers, dicen, ha empleado su propio chatbot, Claude, para realizar operaciones avanzadas como nunca se había visto hasta la fecha.
Por fortuna, desde Anthropic lo detectaron. Fue a finales de septiembre cuando su equipo de seguridad descubrió algo extraño: una serie de peticiones extremadamente rápidas, consistentes y muy técnicas que no se parecían en nada al tráfico normal ni a lo que los usuarios suelen solicitar a la inteligencia artificial. Eso hizo que comenzaran a sospechar e investigaran.
Poco después confirmaron que se trataba de una campaña de espionaje atribuida a un grupo vinculado con un país extranjero -señalado por varias fuentes como China- que apuntaba a una treintena de objetivos en sectores como tecnología, finanzas, manufactura y administraciones públicas. El ciberataque era peligroso, pero lo que realmente destacan es cómo se hizo.
Lo que los hackers hicieron con Claude es lo que los expertos conocen como "jailbreaker" en seguridad. Es decir, hacer peticiones aparentemente simples, que simulaban ser análisis legítimos. Un engaño tan sencillo como sofisticado que impidió que las barreras de seguridad de la IA saltaran. De esta forma los ciberdelincuentes consiguieron que Claude hiciese todo el trabajo sucio.
Un aviso más de los peligros de la inteligencia artificial
Según admiten desde Anthropic, la IA se encargó de entre el 80% y el 90% de las acciones del ciberataque: desde el reconocimiento inicial de los sistemas de las víctimas, hasta la búsqueda de vulnerabilidades, la elaboración de exploits, el robo de credenciales y la clasificación de datos filtrados. Incluso redactó informes de los avances que iba llevando a cabo.
En circunstancias normales, el trabajo que la IA hizo en minutos, hubiese llevado a hackers experto semanas o meses de minucioso trabajo. Otra demostración más de la amenaza que esta tecnología supone. Es verdad que este ataque fue descubierto a tiempo pero, ¿existe la certeza de que siempre será así? La respuesta, lamentablemente, parece ser más bien negativa.