A medida que AI evoluciona para asumir con éxito casos de uso comercial, personal e incluso médico, sus capacidades también lo convierten cada vez más en una amenaza de seguridad.
El martes, los investigadores del validador de identidad Okta publicaron un informe que encontró que los hackers están utilizando V0, una herramienta de creación de sitios web de IA de Verccel, para crear «sitios de phishing que se hacen pasar por páginas web de inicio de sesión legítimas» utilizando indicaciones de texto. Los hackers replicaron la propia página de inicio de sesión de Okta y otros sitios, incluidos Microsoft 365, varias compañías de criptomonedas y un cliente de OKTA.
Okta señaló que los piratas informáticos almacenaron los recursos para sus páginas de phishing, incluidos los logotipos de la empresa replicados, en la infraestructura de Vercel para hacer que sus sitios se vean más legítimos. «Este es un intento de evadir la detección basada en recursos extraídos de los registros de CDN o alojados en infraestructura maliciosa o conocida», según el informe.
Los investigadores, que pudieron reproducir los hallazgos en una demostración de video, llamaron a esto «una nueva evolución en la arma de la generación AI». El informe OKTA señaló cómo las herramientas de IA facilitan que los piratas informáticos escalar sus operaciones a alturas previamente invisibles. Brett Winterford, vicepresidente de Okta Threat Intelligence, le dijo a Axios que era la primera vez que Okta había sido testigo de actores de amenaza que usaban IA para construir infraestructura de phishing en lugar del contenido de phishing solo, como el texto del correo electrónico.
Si bien el V0 de Vercel es propietario, hay innumerables clones públicos de la aplicación en GitHub, un inconveniente del repositorio de código abierto. «Esta proliferación de código abierto democratiza efectivamente las capacidades avanzadas de phishing, proporcionando las herramientas para que los adversarios creen su propia infraestructura de phishing.
En respuesta al informe, Vercel restringió el acceso a los sitios fabricados y está colaborando con OKTA para futuros informes. El informe señaló que Okta no ha visto evidencia de que los intentos de los piratas informáticos de extraer credenciales tenían éxito todavía.
Cómo proteger su negocio
Para Okta, los hallazgos cambian el panorama de la capacitación en seguridad y la realidad de que AI hace que las amenazas sean mucho más difíciles de mantener. «Las organizaciones ya no pueden confiar en enseñar a los usuarios cómo identificar sitios de phishing sospechosos basados en la imitación imperfecta de servicios legítimos», señaló el informe. «La única defensa confiable es vincular criptográficamente el autenticador de un usuario al sitio legítimo en el que se inscribieron».
Por supuesto, eso es lo que impulsa el propio producto de Okta, FastPass. Más allá de convertirse en un cliente, OKTA recomienda que las empresas capaciten a los empleados específicamente para ataques generados por IA y que los administradores limitan las cuentas de los usuarios a solo dispositivos confiables. También llamó a sus zonas de red y herramientas de detección de comportamiento como formas de hacer cumplir la autenticación de paso arriba, un sistema que va más allá de la autenticación de dos factores.
A medida que las amenazas de ciberseguridad de IA continúan proliferando, los expertos en seguridad también recomiendan operar con una arquitectura de confianza cero, regular el uso de herramientas de IA y consultar a expertos externos que pueden mantenerse por delante de la curva de una manera que los equipos internos pueden no tener los recursos para hacer ellos mismos.
También es un buen momento para considerar la implementación de PassKeys si aún no lo ha hecho. Okta los usa como parte de su herramienta FastPass; El beneficio de una clave es que incluso si un mal actor logra ingresar a un sitio web, su cuenta permanecerá bloqueada porque no puede acceder a la llave en su dispositivo.
Si le preocupa haber hecho clic en un enlace de phishing, tome estos pasos para proteger sus cuentas.
