Cuando hablamos de Internet siempre existe un miedo general: el de nuestra propia seguridad. Nos sentimos inseguros frente a lo desconocido, algo tan amplio que no podemos ver sus límites. Y en se contexto, los delincuentes aprovechan cualquier avance a su favor para atacar redes, infraestructuras y sistemas informáticos, lucrándose de la mayor herramienta digital de hoy en día: la Inteligencia Artificial (IA).
Begoña García, responsable de concienciación y cultura de ciberseguridad en BBVA, lleva 24 años dedicándose a la seguridad digital. En una entrevista para El Independiente, la experta ha relatado que, si bien muchos delincuentes están utilizando la IA para «sofisticar más sus ataques y hacerlos más creíbles», en ciberseguridad resulta una herramienta muy útil para «mejorar la protección». Un enfoque interesante, que se debatirá en el próximo Congreso Internacional de IA que se celebrará el próximo 7 de febrero en Alicante.
Pregunta.- ¿Los ciberdelincuentes siempre van por delante? O, dicho de otra manera, ¿cada día que pasa Internet es más o menos seguro?
Respuesta.- A medida que avanza la digitalización de la sociedad, crece la economía en Internet, y con ello las oportunidades para la ciberdelincuencia. Lo que tenemos es un desplazamiento de parte de los delitos del mundo físico a Internet. Pero eso no significa que Internet sea cada vez más insegura, al contrario.
Según avanza la digitalización tanto las empresas como las personas cada vez sabemos mejor cómo movernos en el mundo digital y mejoramos nuestras defensas. Y por si eso no fuera suficiente, la regulación también está evolucionando para mejorar la seguridad de Internet en su conjunto, como en Europa las regulaciones DORA y NIS2.
P.- ¿Cuáles son los peligros más comunes a los que se enfrentan los usuarios?
R.- El peligro más común es el engaño, utilizando lo que conocemos como Ingeniería Social. En Internet es más difícil que en el mundo físico saber con quién nos estamos relacionando, y eso provoca que los delincuentes suplanten identidades de confianza para robar información o dinero a sus víctimas. Otro peligro frecuente es el derivado del malware, que son aplicaciones que se instalan en los dispositivos de las personas con el fin de robar información, interferir en las comunicaciones o causar cualquier otro tipo de daño.
P.- ¿Qué se sabe acerca de los delincuentes que suelen estar detrás de estos ataques y sus motivaciones?
R.- Internet es muy amplio, y caben todo tipo de motivaciones pero la motivación de los ciberataques más habituales que se producen contra los ciudadanos es fundamentalmente económica. Los delincuentes tienen una estructura similar a la de una empresa, e invierten en la realización de estos ataques con el fin de obtener un beneficio.
Podemos destacar también la desinformación, que consiste en propagar información
imprecisa, sesgada, o simplemente falsa a través de las redes sociales. Este tipo de delito supone una preocupación creciente, porque puede impactar en la reputación de una empresa o en la opinión pública.
P.- A nivel general, qué consejos básicos recomiendas para no caer en engaños, estafas, etc.? En resumen, para estar protegido.
R.- Para evitar caer en engaños de ingeniería social es recomendable extremar la precaución cada vez que recibimos un enlace o un fichero a través de cualquier canal (correo electrónico, mensajería instantánea, redes sociales…). Si no estamos seguros del origen, conviene contrastar con el remitente antes de seguir el enlace o abrir el documento.
La regla general debe ser no dar información por ningún medio que nos lo pidan y mantener una buena seguridad financiera. Por ejemplo, usando mecanismos de autenticación y firma con biometría, encendiendo/apagando las tarjetas según el uso que vayamos a hacer en cada momento, o haciendo que la cuenta o tarjeta para hacer compras online sea una específica y tenga poco saldo.
También conviene utilizar siempre que sea posible mecanismos fuertes de autenticación, como la biometría o un factor adicional de autenticación que refuerce las contraseñas. Para proteger nuestros dispositivos conviene descargar sólo software de sitios oficiales, como el Google Play o el Apple App Store, mantener todo el software actualizado e instalar un antivirus.
P.- ¿Cómo ha impactado la IA en todo esto, tanto desde el plano de la ciberdelincuencia como desde la ciberseguridad?
R.- La IA es una herramienta muy poderosa que permite hacer tareas de forma mucho más rápida y eficiente. Los delincuentes la están usando para sofisticar más sus ataques, personalizarlos más y hacerlos más creíbles, y para industrializarlos para que escalen más y lleguen a más gente. En ciberseguridad estamos usándola para mejorar la protección, automatizar tareas o poder hacer predicciones. Es una ayuda a la operación de ciberseguridad y fraude que simplifica y hace mucho más eficiente el trabajo manual.
P.- Hace poco en El Independiente entrevistamos a Jordi Juan, socio del área de consultoría tecnológica y ciberseguridad de EY, para hacer un artículo sobre WormGPT, una especie de ChatGPT sin restricciones que muchos ciberdelincuentes utilizan. ¿Conoces más aplicaciones similares que suelan usarse con fines malignos, hayan sido concebidas para eso o no?
R.- Como ya hemos comentado, la ciberdelincuencia se organiza de una forma muy similar a como lo hacen las empresas. Eso implica que son organizaciones complejas que realizan múltiples funciones, y no todas ellas son evidentemente maliciosas para una herramienta de IA. También hay que tener en cuenta que los diferentes sistemas de inteligencia artificial disponibles en el mercado tienen distintos niveles de seguridad y lo que se conoce como guardarraíles que impiden el uso malicioso. Por todo ello, el abanico de posibilidades que existe de herramientas de IA para la delincuencia organizada incluye desde sistemas convencionales de IA hasta sistemas a los que se han retirado las limitaciones, pasando por aquellos cuyas limitaciones se pueden evitar.
P.- ¿Cómo se explica que aplicaciones como WormGPT, que se sabe que se utilizan expresamente con fines malignos, sigan estando operativas?
R.- Para entender esto hay que tener en cuenta varios factores. El primero es que la ciberdelincuencia se considera que ha alcanzado un volumen equivalente a la tercera economía mundial. Esto significa que los delincuentes disponen de gran cantidad de recursos que pueden utilizar para llevar a cabo sus actividades. Una vez que una tecnología se ha desarrollado es muy difícil impedir su uso por parte de la delincuencia.
En segundo lugar hay que tener en cuenta que los sistemas de IA tienen que servir para soportar un conjunto muy amplio de tareas, algunas de las cuales están en el límite entre lo legítimo y lo ilegítimo. Por ejemplo, es muy útil tener un sistema de IA que detecte los defectos de seguridad que están incluidos en un software, para que se puedan corregir, pero ese mismo sistema de IA puede utilizarse para detectar una debilidad que se pueda utilizar en un ciberataque.
En tercer lugar está la propia dificultad tecnológica para establecer los guardarraíles que aseguran un uso ético de la IA, y que hace que se desarrollen métodos para evitar estos controles.
P.- Sabemos que ChatGPT tiene restricciones, pero también que formulando las preguntas de una manera concreta podemos saltárnoslas. ¿Es posible ‘engañar’ a la aplicación para que te ayude a delinquir? Y si es así, ¿se está haciendo?
R.- Los sistemas de IA son muy complejos, y cuanto más complejo es un software más difícil es garantizar que siempre vaya a funcionar de acuerdo a sus especificaciones. Los primeros sistemas de IA generativa tenían unos guardarraíles muy básicos que permitían un uso casi ilimitado. Con el tiempo estas medidas han ido evolucionando, y cada vez es más difícil encontrar estas estrategias que permiten realizar un uso malicioso. Pero no todos los sistemas comerciales de IA tienen el mismo foco en la ética y la seguridad, por lo que podemos encontrar aún sistemas de IA que se pueden usar con fines maliciosos sin excesiva dificultad.
P.- Suele decirse que las personas mayores están más expuestas a la ciberdelincuencia. ¿Es realmente así?
R.- En Internet nos podemos encontrar con una gran variedad de perfiles, y es difícil determinar cuáles están más y menos expuestos. Cada uno tiene sus propias características y sus propios riesgos. Las personas mayores generalmente se mueven con mayor dificultad que los nativos digitales por Internet y usando los dispositivos electrónicos, pero en cambio tienen mucha más experiencia y tienden a ser más prudentes, lo que muchas veces les permite estar a salvo de muchos riesgos. Los jóvenes, en cambio, están muy habituados al uso de Internet y dispositivos móviles, pero también tienden a ser menos reflexivos, y además están muy acostumbrados a compartir información personal a través de las redes, y esto les puede hacer vulnerables a otros tipos de riesgo.
P.- ¿Qué medidas ha tomado BBVA para proteger a sus clientes y a sí mismo como banco?
R.- En BBVA protegemos a nuestros clientes trabajando en dos planos diferentes. Por un lado está el plano tecnológico, en el que tratamos de implementar las medidas de seguridad más avanzadas. Por ejemplo, permitimos el apagado de las tarjetas a través de la app móvil, para evitar que una tarjeta se utilice cuando nosotros no lo tenemos previsto, o las tarjetas AQUA, que no tienen el código de seguridad de tres dígitos (conocido como CVV) impreso en el reverso, sino que debe consultarse en la app y es único para cada uso, haciendo imposible su reutilización si cae en malas manos. Otro avance reciente que hemos incorporado a la app es el perfil de seguridad, que da recomendaciones a cada cliente sobre el uso de las medidas de seguridad que tiene a su disposición.
Por otro lado está el plano de las personas, a las que tratamos de concienciar y formar contra los riesgos online. En ese sentido utilizamos todos los medios que tenemos a nuestra disposición, desde la sección de seguridad, que está incorporada a nuestra app, a nuestra página web, nuestras redes sociales e, incluso, promocionando charlas y eventos presenciales para todo tipo de colectivos. Por ejemplo, tenemos actualmente en vigor la campaña Cibersencillo, disponible en Youtube, que trata de trasladar una gran cantidad de información y consejos para todas las personas de una forma amena y sencilla.
P.- A día de hoy, ¿los clientes de BBVA siguen siendo víctimas de phishing? ¿Esta técnica sigue resultando en 2024 para engañar o ha quedado obsoleta?
R.- Hoy en día todos los ataques de ingeniería social, ya sea a través del email, SMS, códigos QR, llamadas telefónicas, etc, siguen plenamente vigentes. Constantemente estamos detectando campañas que suplantan identidades de confianza, como bancos, empresas de comercio electrónico o la administración pública con el fin de engañar a los destinatarios. El enorme volumen de información que recibimos a través de canales digitales, la calidad de los engaños, y el hecho de que muchas de las medidas de seguridad básicas todavía no están incorporadas a la conducta habitual de muchas personas hace que en ocasiones estas campañas consigan su objetivo.
P.- Entiendo que en el pasado (y quizás en el presente) sí habrá habido delincuentes que se hayan hecho pasar por vuestro banco para delinquir. De nuevo, ¿qué habéis averiguado sobre ellos? ¿Suelen ser personas a nivel individual, grupos…?
R.- Nosotros también sufrimos campañas por las que los delincuentes utilizan nuestra imagen de marca para engañar a sus víctimas. Si bien es imposible evitar estas suplantaciones a través de Internet, lo que sí hacemos es, en cuanto nos llega información de alguna de estas campañas, proceder rápidamente al desmontaje de los sitios fraudulentos, para evitar que las personas que caigan en el engaño posteriormente puedan resultar perjudicadas.
P.- ¿Hay ataques que os hayan hecho implementar mejoras específicas?
R.- En el mundo de la ciberseguridad hay un gran espíritu de colaboración tanto entre las empresas como con los organismos públicos. Eso implica que disponemos de mucha información no sólo sobre los ataques que recibimos, sino también sobre todos los ataques relevantes que se producen a nivel mundial. Por supuesto, esta información la utilizamos para evolucionar de forma continua nuestras medidas de seguridad para fortalecer nuestra protección ante posibles ciberataques.
