En el artículo del número del mes pasado de Tecnología y Sentido Común se introdujo una visión general de las amenazas que el uso de la inteligencia artificial para actividades maliciosas plantea. Este mes, vamos a fijar nuestra atención en cómo se están utilizando diferentes herramientas de inteligencia artificial para llevar a cabo uno de los ataques más ‘interesantes’ desde el punto de vista delictivo, el fraude al CEO, en sus diferentes variantes, y sobre todo, cómo tratar de prevenir caer en él.
Como casi cualquier tecnología de la Historia, estaremos todos de acuerdo que la Inteligencia Artificial (IA) puede ser utilizada para fines beneficiosos o para lo contrario. Ya vimos en el artículo de enero de 2024 de Tecnología y Sentido Común que, precisamente, el uso malicioso de esta potente tecnología suponía nuevos retos para las organizaciones, tanto a nivel técnico como a nivel organizativo. En dichas organizaciones, fundamentalmente aquellas en las que los procesos de gestión no tienen el nivel de madurez adecuado, la generación de un ‘desvío’ en alguno de los procesos que incluyen aspectos monetarios puede ser un atractivo aliciente para que se sufra un intento de ataque conocido como ‘fraude al CEO’, del que ya hemos escrito en alguna ocasión. Y lamentablemente, los sistemas de inteligencia artificial generativa suponen una herramienta especialmente útil para este tipo de ataques.
En cualquier ataque, hay una fase de reconocimiento de los objetivos. Ningún mando militar en su sano juicio plantea una operación bélica en terreno desconocido, para lo cual siempre hay misiones de reconocimiento y de recopilación de información de inteligencia, previas a la operación principal. El primer uso de sistemas de IA será, por tanto, aprovechar la información existente, tanto en la web ‘superficial’ como en la Deep Web para recopilar dicha información y generar conocimiento útil para el atacante sobre el objetivo a atacar. ¿Y de qué tipo de conocimiento estamos hablando? Pues, por ejemplo: 1. Nombres, cargos, teléfonos y direcciones de correo de personal de la organización, con especial interés en quienes tienen acceso a fondos; 2. Organigrama directivo; 3. Actividades, volumen de negocios, sedes, filiales, proveedores, socios, etc.; 4. Infraestructura informática y de destilado por una IA, queda a disposición del atacante para las siguientes fases del ataque, ya que es importante una rápida reacción de éste ante cualquier imprevisto o duda…
Continuar leyendo…
Doctor en Informática por la Universitat Politècnica de València y Master en Dirección TIC de la UPM-INAP, dispone de varias certificaciones internacionales en Operación, Gestión y Gobierno de TI, tales como ITIL, FITSM, PRINCE2 y COBIT. Escritor técnico, es profesor asociado en la Universitat de València, y actualmente coordina el servicio de TI de una organización pública
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.