5 formas en que los ciberdelincuentes utilizan IA: acceso y robo de credenciales

5 formas en que los ciberdelincuentes utilizan IA: acceso y robo de credenciales

Los atacantes han adoptado el uso de la inteligencia artificial para poder completar su objetivo mediante la implementación de: Phishing, deepfakes, Malware, localización de contenido, entre otras muchas más variantes.

El robar la información en este caso credenciales para el acceso o autorización representa una mina de oro para los ciberdelincuentes especialmente cuando la información robada son un conjunto de nombres de usuario y contraseñas actuales, así como funcionales. Los atacantes utilizan estas credenciales para obtener acceso a sistemas o hacerse cargo de cuentas, con un riesgo reducido de activar una alerta de amenaza. Una vez que el atacante ha tenido acceso al sistema usualmente da comienzo al reconocimiento de la red, la escalada de privilegios, la filtración de datos y otras tareas más. Dependiendo del atacante, así como de la persona que se encuentra vulnerada, el siguiente paso podría ser el inicio de un ataque de Ransomware o el establecimiento de una amenaza persistente avanzada (APT) como Volt Typhoon.

Volt Typhoon
Se ha mantenido activo desde mediados del 2021 y se ha dirigido a organizaciones de infraestructura como en Estados Unidos. Las organizaciones afectadas van desde sectores de comunicación, manufactura, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología y educación.
Volt Typhoon, envía todo el tráfico de su red a sus objetivos a través de dispositivos de borde de red comprometidos incluyendo los enrutadores.

Tiempo de permanencia

El tiempo transcurrido desde el acceso inicial al sistema hasta el descubrimiento de la amenaza es denominado como “tiempo de permanencia”. Es más fácil para los atacantes extender su tiempo de permanencia en una red si pueden integrarse con el trafico normal de la red, es ahí donde las credenciales robadas les facilitan mucho esta tarea.

Ataques basados en contraseñas

Existen ataques que pueden comprometer puntos de accesos remotos o “adivinar” rápidamente las credenciales hasta obtener una combinación que funcione. Los atacantes también les gusta que los administradores de la red dejen credenciales predeterminadas en su lugar. Los tiempos de permanencia suelen ser mas cortos cuando el acceso inicial implica ataques de fuerza bruta, kits de explotación u otros eventos o patrones en el sistema que están fuera del comportamiento normal esperado.

Los sistemas de seguridad avanzados identificaran estos eventos y desencadenaran una investigación. Un tiempo de permanencia más corto normalmente significara menor robo de datos y menos daño a la red.

Las credenciales robadas y el acceso no autorizado al sistema son puertas de entrada a ataques más grandes y los atacantes están utilizando IA para hacer esas puertas de enlace accesibles.

Phishing e ingeniería social

La IA puede generar correos electrónicos de Phishing que imitan el lenguaje y el estilo de las comunicaciones legitimas. Estos correos que usualmente son generados por IA pueden resultar sumamente convincentes, especialmente cuando están personalizados o se basan en un análisis de datos recopilados de antemano. Este tipo de ataques pueden capturar credenciales o engañar a un usuario a realizar un acceso no autorizado proporcionando al atacante el acceso.

Deepfakes

Los atacantes utilizan IA para crear videos o clips de audio que se hacen pasar por ejecutivos u otras figuras confiables. En 2019 un atacante utilizo un ataque de Vishing (Phishing de voz) para convencer a un empleado de que transfiriera más de 243,000 dólares a un proveedor falso.

En 2024, todo un grupo de empleados bancarios falsos utilizo una llamada de Zoom para engañar a un empleado real y transferirle 35 millones de dólares a varias cuentas. Los atacantes utilizan todas las variantes posibles generadas por IA combinándolas con tácticas de ingeniería social y ataques de deepfake.

Desarrollo de Malware

Los atacantes utilizan GEN IA para crear Malware “inteligente”, que permite cambiar su código para evadir la detección de los sistemas de seguridad tradicionales. Esto hace que sea más difícil para los equipos de seguridad identificar y neutralizar las amenazas. El Malware utilizado usualmente para robar credenciales y otra información de sistemas afectados.

Reconocimiento Automatizado

La implementación de la IA puede procesar datos rápidamente, lo que significa que los atacantes pueden encontrar objetivos y vulnerabilidades rápidamente:

  • Escaneo y mapeo de redes: identificación de hosts activos, puertos abiertos, servicios en ejecución y topologías de red.
  • Recopilación de información de fuentes publicas como motores de búsqueda, redes sociales y repositorios de cogidos para inteligencia de código abierto (OSINT). Los atacantes suelen utilizar esta información para realizar ataques de phishing y de ingeniería social.
  • Escaneo de repositorios de códigos: sitios web y aplicaciones en búsqueda de configuraciones incorrectas y otras vulnerabilidades.
  • Implementación de Chatbots de IA: ataques de ingeniería social que se automaticen como Phishing.

Credenciales de alto valor

Los atacantes pueden darles muchos usos a las credenciales robadas. Un uso popular de obtener las credenciales de distintos usuarios o empresas es el venderlas en foros de ciberdelincuencia para que otros atacantes de “menor” rango puedan utilizarlos. En 2023 una empresa de investigación en redes sociales reveló que las credenciales y otra información clasificada como importante puede ser vendida entre 6 y 45 dólares por cuenta.

Un informe indica que las credenciales de PayPal cuentan con un valor significativamente mayor que una cuenta de redes sociales, correo electrónico o incluso tarjetas de crédito. El valor de la cuenta esta determinado por el saldo en la cuenta. Algunas cuentas de procesamiento de pagos y criptomonedas pueden llegar a costar miles de dólares.

Metodología de ejecución

Los atacantes suelen utilizar credenciales robadas en una infracción para atacar otro servicio. Existen tres métodos comunes para estos ataques y la IA puede automatizarlos.

Credential Stuffing

Los atacantes utilizan miles de millones de credenciales robadas disponibles en la “darkweb” para obtener acceso a múltiples cuentas. Este es uno de los tipos mas frecuentes de ataques a contraseñas y es eficaz porque muchas personas utilizan los mismos pares de nombre de usuario y contraseña para múltiples servicios.

Password Spraying

Este ataque es un intento automatizado de hacer coincidir algunas contraseñas comunes en muchos nombres de usuarios conocidos. Los atacantes consideran este ataque mas eficaz contra servicios en la nube, puntos de acceso remoto y proveedores de inicio de sesión único.

Brute Force Attacks

Son procesos automatizados de prueba y error que adivinan contraseñas utilizando todas las combinaciones de caracteres. En este ataque no se utiliza información de credenciales conocidas, aunque los ataques suelen utilizar nombres de usuario y contraseñas predeterminados conocidos y listas de las contraseñas más comunes.

Protégete a ti mismo

El defenderse a sí mismo y a su empresa del robo de información impulsado por el uso de la IA implica una combinación de políticas de seguridad sólidas, educación y concientización de los usuarios y el uso de las soluciones de seguridad avanzada.

Multifactor Autenticación

Acceso seguro a una amplia gama de sistemas, servicios y aplicaciones mediante una solución de autenticación de múltiples factores basada en la nube. Proteja las cuentas de usuario con un código de acceso dinámico único para cada sesión adicional a la contraseña y reduzca el impacto de la reutilización de contraseñas, esté preparado para cuando ocurra el próximo ataque de robo de datos a gran escala.

Security Awareness Training

Defiende tu organización contra los ciberdelincuentes y fortalece tu "firewall humano" con nuestra capacitación automatizada y atractiva. Ejecute simulaciones de phishing realistas, aumente las habilidades de ciberdefensa de su personal y realice un seguimiento de la eficacia con informes y paneles detallados.

Zero Access Trust

La seguridad comienza con el acceso. El modelo Zero Trust Access de Barracuda establece un control de acceso incomparable entre usuarios y dispositivos, desde remotos hasta híbridos, y desde propiedad de la empresa hasta empleados y contratistas. Proporciona acceso remoto, condicional y contextual a los recursos y reduce los riesgos de acceso con privilegios excesivos. Con Zero Trust Access, los empleados y socios pueden acceder a las aplicaciones de Microsoft 365 sin crear superficies de ataque adicionales.

 

Acércate a nosotros para brindarte más información de nuestro programa de canales:

 

 

 

JR

 

 

Regresar al blog