Las amenazas por email con IA requieren mayor precisión, transparencia y protección desde las organizaciones
El vector de ataque número uno sigue siendo el correo electrónico: el 75 por ciento de las organizaciones en la región EMEA ha sufrido al menos un ataque exitoso por esta vía durante el último año, según la empresa líder en ciberseguridad y cumplimiento normativo Proofpoint.
Precisamente, en Europa, el rigor normativo se une a la complejidad operativa. Las amenazas son más específicas, matizadas y difíciles de detectar, de ahí que lo que está en juego sea mayor. “Desde ataques de phishing al compromiso del correo electrónico empresarial (BEC), pasando por la suplantación de identidad de proveedores, la relación señal-ruido no hace más que empeorar”, señala Kevin Leusing, jefe de tecnología de la empresa de ciberseguridad Proofpoint. “En este contexto, los enfoques habituales de protección del correo electrónico, basados en reglas estáticas, firmas o tácticas de sandboxing, no pueden hacer frente a los ataques polimórficos y de ingeniería social altamente avanzados de hoy en día”.
Esas limitaciones de la seguridad tradicional se traducen en un alto número de falsos positivos y negativos, una falta de contexto sobre el comportamiento del usuario o la identidad del remitente y una postura reactiva que detecta amenazas después de producirse el compromiso. ¿El resultado? Ataques no detectados, usuarios frustrados y empresas expuestas.
Mejorar este enfoque pasa actualmente por la detección mediante inteligencia artificial (IA) como elemento revolucionario: el 61% de los CISOs de EMEA echa mano de capacidades basadas en IA para ayudar a proteger a sus organizaciones contra los errores humanos y las ciberamenazas avanzadas centradas en el factor humano. “Sin embargo, frente al sofisticado panorama actual de ataques, no es en absoluto una solución milagrosa”, sentencia Leusing. “Es esencial que los CISOs comprendan cómo se aplica la IA en la detección de amenazas por email y cuáles son sus límites para crear una estrategia de ciberdefensa resiliente”.
La IA se usa a menudo de forma intercambiable con el aprendizaje automático o machine learning (ML), pudiendo desglosarse de la siguiente manera: ML supervisado, que entrena modelos sobre amenazas conocidas frente a correos legítimos; ML no supervisado, que detecta anomalías en el comportamiento sin etiquetas predefinidas; procesamiento del lenguaje natural para analizar el tono, la intención y la estructura de los mensajes; e IA conductual, que aprende los patrones de comunicación de los usuarios y los remitentes para detectar desviaciones. En conjunto, estas tecnologías pueden crear un perfil de riesgo multidimensional con cada mensaje, no sólo basándose en el contenido o los archivos adjuntos, sino también en el historial del remitente, sus tácticas de suplantación de identidad, el contexto y la intención percibida.
Del mismo modo, a medida que las herramientas de IA generativa se vuelven más accesibles, los ciberdelincuentes las incorporan para crear estafas personalizadas de phishing y de suplantación de identidad, entre otras, sin que el idioma o la cultura de sus objetivos sean elementos disuasorios. “Estamos ante un complejo panorama en EMEA, pues es una región que alberga una mezcla de fabricantes globales, instituciones financieras y servicios de alta confianza. Todos ellos son objetivos muy atractivos para los ataques de ingeniería social. A eso se añaden otras circunstancias como un entorno normativo exigente, ya que el RGPD y los requisitos de seguridad de la información reclaman una alta precisión y soberanía de los datos; matices lingüísticos diferentes del inglés, lo que plantea retos en procesamiento del lenguaje natural; y otros desafíos relacionados con la red de proveedores, puesto que la alta interconectividad hace que el compromiso de la cadena de suministro sea más perjudicial”.
Del lado de la ciberdefensa, conviene tener en cuenta que no todas las IA son iguales, pero una detección eficaz de amenazas por correo electrónico debe contar con los siguientes requisitos:
• Precisión y explicabilidad: es necesario confiar en las detecciones, por lo que el sistema debe explicar qué hace peligroso un mensaje y no únicamente sospechoso.
• Aprendizaje continuo: dado que cada vez más ciberdelincuentes recurren a ataques generados por IA, los modelos defensivos con esta tecnología deben evolucionar en tiempo real, basándose en nuevas campañas y en los comentarios de los usuarios, sin necesidad de un ajuste manual constante.
• Adaptación al idioma y a la configuración regional: las herramientas de IA tienen que detectar la manipulación lingüística en intentos de phishing multilingües.
• Integración con la percepción humana: la IA complementa, pero no sustituye el análisis humano.
La última pieza del rompecabezas es proteger a las personas que son objeto de los ataques. Si se utiliza correctamente, la IA puede transformar la seguridad del correo electrónico, aislando los mensajes peligrosos antes de que lleguen al usuario, advirtiendo en tiempo real sobre posibles suplantaciones de identidad, formando a las personas en seguridad a partir de amenazas reales y retirando los emails maliciosos después de su entrega, entre otras ventajas.
“En EMEA, donde los atacantes se aprovechan de la confianza, el idioma y los procesos, la IA debe ser explicable, adaptable y profundamente contextual. En Proofpoint, no creemos en la IA por la IA. Creemos en la protección de las personas mediante una IA más avanzada, transparente y centrada en el ser humano”, concluye Kevin Leusing.
