Incidentes Asociados
La mayor amenaza para la infraestructura crítica estadounidense, según Cynthia Kaiser, subdirectora adjunta del FBI, se resume en una sola palabra: "China".
En una entrevista con The Register durante la Conferencia RSA, afirmó que equipos respaldados por el gobierno chino están probando la IA en cada etapa de la cadena de ataque. Esto no significa que tengan éxito, pero sí los hace "más eficientes, o incluso un poco más rápidos", añadió Kaiser.
La amenaza constante de intrusos digitales respaldados por Pekín que se infiltran en las instalaciones críticas de Estados Unidos probablemente no sorprenda a nadie que pueda nombrar al menos dos de los tifones que han salido a la luz entre la RSAC del año pasado y el evento de seguridad informática de este año.
A estas alturas, la mayoría de la gente es consciente de la sofisticación y el sigilo con que los espías de Pekín se mueven por las redes críticas del gobierno, las telecomunicaciones, la energía y el agua, a veces durante años antes de ser detectados. Por ejemplo, el Volt Typhoon infectó cientos de enrutadores obsoletos para crear una botnet y acceder a infraestructuras críticas de EE. UU., al tiempo que preparaba ciberataques destructivos contra esos objetivos.
Y otro equipo de espionaje chino, Salt Typhoon (https://www.theregister.com/2025/02/13/salt_typhoon_pwned_7_more/), comprometió al menos nueve empresas de telecomunicaciones estadounidenses y redes gubernamentales el año pasado, antes de intentar explotar más de mil dispositivos Cisco con conexión a internet en enero.
Estos y otros agentes que trabajan para el gobierno chino irrumpen en las redes estadounidenses mediante "medios poco sofisticados, o especialmente dispositivos al final de su vida útil", declaró Kaiser a The Register.
"Los vemos entrar, a menudo, a través de vulnerabilidades sin parchear o un dispositivo sin parchear, y luego, cuando acceden a un sistema, lo hacen con total discreción", dijo.
Los agentes del FBI que respondieron a las intrusiones del Volt Typhoon de China y visitaron algunas de las instalaciones de energía y otras instalaciones comprometidas "hablarán de la destreza con la que los chinos se desenvolvieron en un sistema interno, entrando a través de una red empresarial para llegar al área operativa", señaló Kaiser. "Eso es lo que vimos también con el Salt Typhoon: su capacidad de moverse lateralmente y navegar, tomándose su tiempo para obtener el acceso que desean". Una de las advertencias favoritas del exdirector del FBI, Christopher Wray, era que China cuenta con 50 hackers dedicados por cada agente de la agencia especializado en ciberseguridad. Esto ocurrió mucho antes de que la administración Trump regresara a la Casa Blanca y recortara los presupuestos federales y los empleados de la nómina.
Así que parece que Estados Unidos solo está facilitando el trabajo de los agentes chinos.
'Todo sigue igual'
Pero cuando se le preguntó cómo los recientes cambios gubernamentales han afectado la capacidad del FBI para responder a las ciberamenazas, Kaiser respondió: "Para nosotros, todo ha seguido igual". Ese negocio implica responder a atacantes de estados nación, así como a bandas de ransomware y otros ciberdelincuentes con motivaciones financieras (https://www.theregister.com/2025/04/24/ransomware_scum_and_other_crims/), que utilizan cada vez más la IA para que sus ataques sean más eficientes, rápidos y escalables.
"En el FBI, hacemos un seguimiento minucioso de la IA, de forma refinada, para determinar, a lo largo del tiempo, qué países están implementando el caso de uso o la integran con mayor frecuencia en qué parte de sus operaciones a lo largo del ciclo de vida del ataque", añadió Kaiser. "La adopción más amplia de casos de uso que hemos visto proviene de China y de los ciberdelincuentes".
Esto incluye el uso de la IA para crear perfiles comerciales ficticios a gran escala y, con la ayuda de modelos de lenguaje amplios, elaborar mensajes de phishing selectivo más creíbles para usar en campañas de ingeniería social.
Aun así, el uso que hacen los intrusos es similar al de los defensores, ya que no utilizan la IA para lanzar ataques de extremo a extremo, sino para optimizar sus etapas iniciales de escaneo y preparación. "Vemos a muchos adversarios simplemente probándola. ¿Cómo podría usar la IA aquí? ¿Qué significaría allá? Y podría significar simplemente que han enriquecido una campaña dirigida, no que hayan creado malware polimórfico que pueda cambiar al entrar en un sistema", señaló Kaiser.
Así que, aunque los escenarios catastróficos que todos escuchamos en anteriores Conferencias RSA aún no se han hecho realidad, los atacantes están utilizando la IA con fines más prácticos.
"Otra razón por la que las empresas deben preocuparse por la IA es que ayuda a un adversario a mapear mejor una red", dijo Kaiser. "Así, una vez que entran en una red, les permite acceder a dónde podrían querer ir".
Esto es importante porque la "primera línea de defensa es: mantener a los adversarios fuera", añadió. El segundo, sin embargo, es asegurar que la gente no pueda navegar por tu red.
MFA (o palabra de seguridad)
Además de estos dos usos de la IA, la tecnología también facilita que todos, desde falsos trabajadores de TI norcoreanos hasta delincuentes comunes, creen videos deepfake, estafen a empresas y particulares y roben su propiedad intelectual confidencial.
"Imagina que recibes una llamada de tu director ejecutivo", dijo Kaiser. "Está en una aplicación de mensajería que ya has usado, y es tu director ejecutivo, sentado en una casa donde lo has visto muchas veces, y te dice: Necesito que hagas una transferencia bancaria aquí o que te unas a una reunión urgente en línea en este enlace. Muchos de nosotros, incluyéndome a mí, probablemente haríamos lo que me dijo mi director ejecutivo sin pensarlo, ¿podría ser falso?".
Los delincuentes están haciendo esto y, como resultado, utilizan vídeos deepfake para "estafar millones a las empresas", añadió. "Por lo tanto, será imperativo añadir la autenticación multifactor (MFA) a todo".
Para los sistemas digitales, esto puede incluir un código de autenticación o datos biométricos como la huella dactilar. Pero en un escenario en el que alguien de tu empresa parece pedirte que transfieras grandes sumas de dinero, la autenticación multifactor puede implicar una forma menos tecnológica de verificar la identidad de alguien.
Según Kaiser: "La MFA tradicional consiste en tener una palabra secreta".