A medida que la tecnología de prevención del fraude se vuelve más sofisticada, las tácticas de apropiación de cuentas (ATO) se mantienen al día. Entre 2019 y 2021, Los ataques ATO aumentaron en un 307%, con pérdidas monetarias totales por un total de 11.4 millones de dólares, y una pérdida de credibilidad y confianza de los clientes incalculable.
Las filtraciones de datos masivas que parecen ocurrir a diario (ingeniería social inteligente impulsada por la ayuda de la IA generativa, el phishing y los ataques de fuerza bruta) brindan a los piratas informáticos acceso a información de identificación personal (PII), y luego comienzan las apropiaciones de las cuentas de los consumidores. Las pérdidas financieras golpean duramente a los consumidores, pero también hay un componente psicológico muy real, que afecta directamente la relación de ese cliente con la empresa que no protegió sus datos.
“Hay una impotencia al darse cuenta de que su cuenta ha sido comprometida y su información personal ahora está en manos de otra persona”, dijo Juan Rivera, ingeniero senior de soluciones en Telesign durante un VB Spotlight reciente. “Es perjudicial tanto a corto como a largo plazo”.
Rivera habló con Joni Brennan, presidente del Consejo de Identificación y Autenticación Digital de Canadá (DIACC), sobre cómo están evolucionando las amenazas actuales en el mundo de la IA, cómo mitigar el riesgo y más.
“Internet no se inventó con una capa de verificación de identidad”, dijo Brennan. “Estamos llenando un espacio que no existía. Tenemos mucho más trabajo por hacer como comunidad de profesionales y practicantes en este espacio, y continuaremos haciendo ese trabajo”.
Cómo la IA generativa está revolviendo la olla
Los métodos tradicionales de fraude todavía existen: el phishing y el buceo en contenedores son tan populares como siempre. Pero AI ha habilitado algunas áreas de ataque nuevas y dramáticas, tanto en ATO como en Credential Stuffing.
Por ejemplo, una violación de datos ofrece un tesoro de nombres de usuario y contraseñas, y luego los bots se infiltran en las cuentas y realizan ataques de fuerza bruta utilizando esos datos. Con la capacidad de AI para procesar grandes cantidades de información, ese proceso es sorprendentemente rápido. Y con AI, los atacantes también pueden crear combinaciones de contraseñas basadas en PII. Como ejemplo, puede usar su contraseña como una guía sobre qué contraseñas puede elegir en otros sitios.
Las falsificaciones profundas tampoco son un cuento para niños. Recientemente una mujer fue chantajeado por criminales alegando que habían secuestrado a su hija, y usaron muestras de voz de la hija para construir una simulación convincente con IA. Y en febrero de 2023, un periodista pudo superar el esquema de autenticación de una importante institución financiera en el Reino Unido mediante el uso de tecnología deep fake.
“El costo de usar IA generativa para algo como una voz profunda y falsa ha aumentado la capacidad de acceder a esas capacidades”, dijo Rivera. “La IA generativa ya está comenzando a romper los métodos de autenticación que tenemos hoy, y seguirá rompiendo más”.
Pero, por otro lado, existe la oportunidad de aprovechar la IA generativa internamente para automatizar el monitoreo de comportamientos sospechosos.
“Creo que veremos la IA generativa, al igual que con cualquier ecosistema de seguridad, en ambos lados de la cerca, tanto para los atacantes como para los defensores”, agregó. “Realmente va a ser una cuestión de quién puede acceder primero a la tecnología. A medida que los expertos en seguridad se apoderan de la tecnología, también lo hacen los estafadores”.
Construyendo defensas contra las ciberamenazas
Hay mucho trabajo por hacer en el espacio de identificación y verificación digital, dijo Brennan.
La conciencia de la amenaza, su nivel y su potencial de daño, es el primer paso. Tomarlo en serio significa invertir en la tecnología que necesita para bloquear la PII de la que es responsable, especialmente la autenticación multifactor.
“Tanto en su vida personal como si está operando un negocio, si está en el departamento de TI, debe insistir en la autenticación de al menos dos factores, si no en la autenticación de múltiples factores”, dijo Brennan. “Ya sea usando diferentes canales que tiene disponibles a través de dispositivos móviles, correo electrónico o, mejor aún, usando tokens duros, tokens que existen para contraseñas de un solo uso y cosas de esa naturaleza”.
Desafortunadamente, ese es un nivel de fricción demasiado grande para muchos usuarios, por lo que necesitan, como mínimo, crear un nombre de usuario y una contraseña seguros, y asegurarse de que sea único en cada sitio. Los generadores de contraseñas de hoy son tremendamente encriptados y seguros, fáciles de usar y con la nube, generalmente disponibles en todos los dispositivos. Las bóvedas de contraseñas son otra herramienta útil, igualmente segura y fácil de usar, y significa que un cliente no tiene que recordar ninguna de esas contraseñas extremadamente complejas que ha generado.
Por qué la educación y la conciencia son fundamentales
“Las empresas tienen mucho que perder si no educan a sus empleados”, explicó Rivera. “Van a enviar constantemente correos electrónicos de prueba para asegurarse de que no caigas en esas trampas. Pero el consumidor promedio no puede darse el lujo de eso. Si no están al tanto de lo que hacen los estafadores, se aprovecharán de eso. Es por eso que estamos viendo un aumento en ATO cada año”.
Se debe educar a los consumidores sobre las formas en que pueden implementar de manera proactiva un enfoque de múltiples capas para detectar y prevenir comportamientos sospechosos, para reducir el riesgo de que las cuentas se vean comprometidas, para empezar. “Las organizaciones tienen la responsabilidad de implementar los flujos que ayuden, paso a paso, a guiar al cliente a través del proceso de implementar ese efecto en capas a través de diferentes autenticadores y diferentes metodologías”, dijo Brennan.
Eso incluye enseñarles a estar al tanto de las credenciales de un sitio web, ya sea navegando, comprando o interactuando. Monitorear correos electrónicos y mensajes sospechosos, nunca hacer clic en un enlace e inmediatamente volver a la supuesta fuente genuina del correo electrónico (ya sea su banco o un sitio de compras) y verificar con la fuente.
“A medida que avanzamos, estamos viendo oportunidades para cambios de paradigma a través de redes distribuidas, ecosistemas distribuidos y cosas como credenciales verificables; formas en que podemos presentar datos, minimizar información, usar criptografía para verificar”, agregó Brennan. “Tenemos muchas herramientas excelentes hoy y veremos más evoluciones, redes confiables para compartir información en este espacio, porque personas como Juan y muchos otros están trabajando en esto todos los días para ayudar a mejorar la experiencia”.
Enlace: https://venturebeat.com/security/the-growing-impact-of-generative-ai-on-cybersecurity-and-identity-theft/?utm_source=pocket_saves
Fuente: https://venturebeat.com
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.fintechnews.org/the-growing-impact-of-generative-ai-on-cybersecurity-and-identity-theft/
