La IA se está convirtiendo en un radar de largo alcance para los hackers

NUEVA ERA EN SEGURIDAD INFORMÁTICA | La inteligencia artificial (IA) está revolucionando la forma en que se detectan y explotan las vulnerabilidades en el software, lo que está cambiando la economía de las recompensas por errores y poniendo presión en las organizaciones para que publiquen parches con rapidez.

Hace una década, los programas para recompensar a los investigadores por enviar hallazgos de fallos de seguridad en software estaban empezando a generalizarse. La divulgación de vulnerabilidades y los programas de «recompensas por fallos» representaron un cambio de paradigma que llevaba años gestándose: las instituciones pasaron de la hostilidad y la actitud defensiva ante los hallazgos de la investigación de seguridad al reconocimiento de que era necesario recibir aportaciones y publicar correcciones. Cuando Apple finalmente anunció una recompensa por errores en 2016, la recompensa máxima fue de 200,000 dólares. Aumentó a un millón de dólares en 2019 y a dos millones el año pasado.

A medida que los modelos de IA agéntica se vuelven más hábiles para identificar de forma autónoma las vulnerabilidades del software y desarrollar exploits para ellas, es decir, identificar debilidades y crear herramientas de hacking, los programas de divulgación de vulnerabilidades se ven desbordados justo cuando las organizaciones encuentran más errores que nunca. Esta abundancia está cambiando la economía de las recompensas por errores tanto para las instituciones que solicitan informes como para los investigadores, algunos de los cuales actualmente se ganan la vida o complementan sus ingresos con la búsqueda de errores.

«Probablemente he reportado tres veces más errores que el año pasado por estas fechas; sospecho que una empresa como Google va a gastar entre dos y diez veces más en compensaciones por errores que el año pasado», dice el investigador de seguridad independiente Joseph Thacker, quien ha desarrollado métodos y herramientas para usar la IA en su propia búsqueda de bugs.

Las gigantes tecnológicas, añade, «pueden soportar esa presión, pero la mayoría de las empresas no. Ahora mismo, la gente enviará bugs de calidad media y baja: los agentes están encontrando unos muy buenos. Pero el año que viene se presentarán menos bugs, porque muchos ya se habrán encontrado, y creo que algunas empresas volverán a aumentar sus pagos».

La IA es cada vez mejor encontrando vulnerabilidades… y explotándolas

Los modelos de inteligencia artificial son tan buenos detectando vulnerabilidades que algunos expertos afirman que la industria tecnológica podría tener que replantearse cómo se construye el software.

Qué pasará con los cazadores de vulnerabilidades

Thacker y otros investigadores admiten que nadie sabe exactamente cómo se desarrollará la dinámica de la oferta y la demanda a largo plazo. Y en función de la eficacia que tengan para los atacantes el descubrimiento de exploits mediante IA y el escaneado automatizado de sistemas, los desarrolladores podrían empezar a sentirse aún más presionados para publicar parches con rapidez, lo que podría acelerar normas tan arraigadas como los plazos de divulgación de 90 días (ventanas establecidas entre la detección de fallos y su divulgación pública que a menudo estimulan la publicación de parches).

Como escribió el investigador de seguridad Himanshu Anand a principios de este mes, «el plazo de 90 días para la divulgación responsable se creó para un mundo en el que los descubridores de fallos eran escasos y el desarrollo de exploits era lento. Ese mundo ya no existe. Los grandes modelos de lenguaje (LLM) han comprimido ambos plazos».

La proliferación de parches siempre ha sido un reto de seguridad crucial pero complejo, dado que, sin las pruebas adecuadas, la instalación de nuevo software a gran escala puede tener consecuencias imprevistas, incluidos los peores escenarios, como cortes de suministro.

La responsabilidad forzada de los hackers también podría motivar mejoras en la rapidez con la que las organizaciones despliegan correcciones de vulnerabilidades en sus sistemas.

La IA está mejorando significativamente en la detección de vulnerabilidades y el desarrollo de exploits, lo que podría llevar a un aumento en la cantidad de errores reportados y a una mayor presión sobre las organizaciones para que publiquen parches con rapidez.

Cómo la IA cambiará la búsqueda de vulnerabilidades y las recompensas por errores

La inteligencia artificial (IA) está revolucionando la forma en que se identifican y explotan las vulnerabilidades en el software. Los modelos de IA agéntica pueden identificar debilidades y desarrollar herramientas de hacking de forma autónoma, lo que está cambiando la economía de las recompensas por errores tanto para las instituciones que solicitan informes como para los investigadores.

Según el investigador de seguridad independiente Joseph Thacker, «probablemente ha reportado tres veces más errores que el año pasado por estas fechas; sospecha que una empresa como Google va a gastar entre dos y diez veces más en compensaciones por errores que el año pasado». Esto se debe a que la IA es capaz de detectar vulnerabilidades más rápido y de manera más eficiente que los humanos.

• La IA puede detectar vulnerabilidades más rápido y de manera más eficiente que los humanos.
• Las gigantes tecnológicas pueden soportar la presión, pero la mayoría de las empresas no.
• La proliferación de parches siempre ha sido un reto de seguridad crucial pero complejo.

La creciente eficacia de la IA para identificar vulnerabilidades podría llevar a las empresas a replantearse cómo se construye el software y a acelerar normas como los plazos de divulgación de 90 días. Esto podría motivar mejoras en la rapidez con la que las organizaciones despliegan correcciones de vulnerabilidades en sus sistemas.

El futuro de la seguridad informática

En el futuro, es probable que la IA juegue un papel cada vez más importante en la seguridad informática. Las empresas deberán adaptarse a esta nueva realidad y encontrar formas de protegerse contra las vulnerabilidades detectadas por la IA. La colaboración entre humanos y máquinas será clave para abordar los desafíos de seguridad en la era de la IA.