La IA se está convirtiendo en un radar de largo alcance para los hackers
Hace una década, los programas para recompensar a los investigadores por enviar hallazgos de fallos de seguridad en software estaban empezando a generalizarse. La divulgación de vulnerabilidades y los programas de «recompensas por fallos» representaron un cambio de paradigma que llevaba años gestándose: las instituciones pasaron de la hostilidad y la actitud defensiva ante los hallazgos de la investigación de seguridad al reconocimiento de que era necesario recibir aportaciones y publicar correcciones. Cuando Apple finalmente anunció una recompensa por errores en 2016, la recompensa máxima fue de 200,000 dólares. Aumentó a un millón de dólares en 2019 y a dos millones el año pasado. Pero todo eso está a punto de cambiar de nuevo.
A medida que los modelos de IA agéntica se vuelven más hábiles para identificar de forma autónoma las vulnerabilidades del software y desarrollar exploits para ellas, es decir, identificar debilidades y crear herramientas de hacking, los programas de divulgación de vulnerabilidades se ven desbordados justo cuando las organizaciones encuentran más errores que nunca. Esta abundancia está cambiando la economía de las recompensas por errores tanto para las instituciones que solicitan informes como para los investigadores, algunos de los cuales actualmente se ganan la vida o complementan sus ingresos con la búsqueda de errores. Y, lo que es crucial, el campo también está cambiando al mismo ritmo para los hackers.
«Probablemente he reportado tres veces más errores que el año pasado por estas fechas; sospecho que una empresa como Google va a gastar entre dos y diez veces más en compensaciones por errores que el año pasado», dice el investigador de seguridad independiente Joseph Thacker, quien ha desarrollado métodos y herramientas para usar la IA en su propia búsqueda de bugs.
Las gigantes tecnológicas, añade, «pueden soportar esa presión, pero la mayoría de las empresas no. Ahora mismo, la gente enviará bugs de calidad media y baja: los agentes están encontrando unos muy buenos. Pero el año que viene se presentarán menos bugs, porque muchos ya se habrán encontrado, y creo que algunas empresas volverán a aumentar sus pagos».
Qué pasará con los cazadores de vulnerabilidades
Thacker y otros investigadores admiten que nadie sabe exactamente cómo se desarrollará la dinámica de la oferta y la demanda a largo plazo. Y en función de la eficacia que tengan para los atacantes el descubrimiento de exploits mediante IA y el escaneado automatizado de sistemas, los desarrolladores podrían empezar a sentirse aún más presionados para publicar parches con rapidez, lo que podría acelerar normas tan arraigadas como los plazos de divulgación de 90 días (ventanas establecidas entre la detección de fallos y su divulgación pública que a menudo estimulan la publicación de parches).
Como escribió el investigador de seguridad Himanshu Anand a principios de este mes, «el plazo de 90 días para la divulgación responsable se creó para un mundo en el que los descubridores de fallos eran escasos y el desarrollo de exploits era lento. Ese mundo ya no existe. Los grandes modelos de lenguaje (LLM) han comprimido ambos plazos».
Fundamentalmente, la responsabilidad forzada de los hackers también podría motivar mejoras en la rapidez con la que las organizaciones despliegan correcciones de vulnerabilidades en sus sistemas. La proliferación de parches siempre ha sido un reto de seguridad crucial pero complejo, dado que, sin las pruebas adecuadas, la instalación de nuevo software a gran escala puede tener consecuencias imprevistas, incluidos los peores escenarios, como cortes de suministro.
La urgencia de los ataques en el mundo real facilitados por la IA parece ir en aumento, con actores tanto sofisticados como menos competentes que buscan ampliar sus capacidades y reducir costes. Por ejemplo, en las conclusiones publicadas a principios de este mes, los investigadores de Google dijeron que habían observado a «destacados actores de amenazas de ciberdelincuencia» intentando explotar una vulnerabilidad de día cero, o desconocida hasta entonces, que habían desarrollado utilizando herramientas de IA para eludir la autenticación de dos factores en una plataforma de administración de sistemas de código abierto. Google avisó rápidamente al desarrollador, que corrigió el fallo. Sin embargo, los investigadores afirman que este incidente es un ejemplo crucial del cambiante panorama de la caza de bugs.
«Todos dábamos por hecho que ya estaba ocurriendo, y esta es la primera prueba de que está sucediendo», afirma John Hultquist, analista jefe del Grupo de Inteligencia de Amenazas de Google, refiriéndose a los atacantes que utilizan la IA para descubrir nuevas vulnerabilidades y crear exploits.
«Los problemas relacionados con los estados nación son muy serios y muy reales, pero los delincuentes siguen siendo la causa principal de la gran mayoría de los incidentes que afrontan las organizaciones, y muchos de ellos son bastante graves», refiere Hultquist. Añade: «El uso de vulnerabilidades de día cero por parte de hackers ha sido bastante limitado, y quienes las utilizan suelen tener mucho éxito, así que no deberíamos subestimar el impacto que supone que más delincuentes tengan acceso a una vulnerabilidad de día cero».
Los tiempos ya no son los mismos
Sin embargo, para los investigadores que ganan dinero con la caza de bugs, los tiempos están cambiando. La herramienta de línea de comandos Curl finalizó su programa de recompensas por la detección de errores (gestionado a través del servicio externo HackerOne) en enero tras verse inundada de informes de baja calidad generados por IA.
«Hemos llegado a la dura conclusión de que una recompensa por fallos da a la gente incentivos demasiado fuertes para encontrar e inventar ‘problemas’ de mala fe que causan sobrecarga y abuso», escribió el grupo en ese momento, añadiendo que «todavía apreciamos y valoramos los informes de vulnerabilidad válidos».
La semana pasada, el creador y principal desarrollador de Linux, Linus Torvalds, escribió que la famosa lista de correo de seguridad de Linux se ha vuelto «casi totalmente inmanejable» debido al gran volumen y la duplicación de informes de fallos de IA.
Sin embargo, en abril, Daniel Stenberg, fundador y principal desarrollador de Curl, afirmó en un post de LinkedIn que la calidad de los envíos había mejorado. «En los últimos meses, hemos dejado de recibir informes de seguridad sobre fallos de IA en el proyecto Curl. En su lugar, recibimos una cantidad cada vez mayor de informes de seguridad realmente buenos, casi todos realizados con la ayuda de la IA. Se envían con una frecuencia nunca vista y nos someten a una gran carga».
Y a finales de abril, Google anunció que estaba revisando sus programas de recompensas por vulnerabilidades para Chrome y Android y reduciendo los pagos para algunas clases de errores, mientras que aumentaba otros. «A medida que el panorama de la investigación de seguridad evoluciona con la IA, estamos haciendo cambios en nuestros programas para asegurarnos de que estamos recompensando las vulnerabilidades más desafiantes e impactantes en nuestros productos», escribió la compañía.
La esperanza de una nueva infraestructura
«Creo que los expertos en detección de errores, que se encuentran entre el 10% superior y poseen habilidades especiales, siempre podrán encontrar vulnerabilidades y obtener recompensas de grandes empresas», afirma Jonathan Dunn, cardiólogo y también cazador de recompensas por la detección de errores. Explica: «Pero incluso con la IA, también necesitamos incentivar fuertemente a los investigadores éticos para que encuentren vulnerabilidades en la infraestructura pública y otros sistemas críticos que, de otro modo, podrían no recibir la atención suficiente por parte de los responsables de su seguridad».
Por ahora, la mayoría de las organizaciones parecen dispuestas a probar todas las soluciones posibles para abordar el problema (y los beneficios) de la detección acelerada de errores. «Esto está cambiando la dinámica del sector de la búsqueda de errores, pero sin duda sigue requiriendo tiempo humano», afirma Alex Zenla, director de tecnología de Edera, empresa de seguridad en la nube.
A principios de este mes, Anthropic lanzó una campaña de recompensas por detección de errores en HackerOne para que los investigadores reportaran hallazgos en los sistemas de la compañía y en los modelos de IA de Claude. Sin embargo, cada vez más investigadores argumentan que se necesitan defensas estructurales para abordar el creciente número de vulnerabilidades descubiertas. En otras palabras, están diseñando soluciones digitales para diferentes tipos de vulnerabilidades que las eliminan o las hacen significativamente menos explotables en la práctica.
«No se puede salir de esta situación con parches. Hay que construir una infraestructura que haga irrelevantes tantos fallos como sea posible», concluye el veterano ingeniero de seguridad e investigador Niels Provos.
(es.wired.com)
Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú
Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
