La inteligencia artificial (IA) no tiene ninguna posibilidad de poder replicar la creatividad humana necesaria para convertirse en un hacker ético, pero interrumpirá la forma en que los piratas informáticos realizan pruebas de penetración y trabajan en programas de recompensas por errores, y ya está aumentando el valor de la piratería. a organizaciones que están preparadas para comprometerse con la comunidad de piratas informáticos en lugar de descartarla por completo.
Esto es según los hackers que contribuyeron a la última edición de Dentro de la mente de un hacker (ITMOAH), un informe anual de la firma de pruebas de penetración de colaboración colectiva Bugcrowd, que se propone ofrecer una mirada en profundidad sobre cómo piensan y funcionan los piratas informáticos, y por qué hacen las cosas que hacen. Este año, como era de esperar, se inclina hacia la IA a lo grande.
En lo que respecta a las preguntas existenciales sobre si la IA podría o no superar al hacker promedio o volverlo irrelevante, el 21% de los encuestados dijo que la IA ya los estaba superando, y un tercio dijo que podrá hacerlo dentro de otros cinco años más o menos. .
La gran mayoría, el 78 %, dijo que la IA interrumpiría la forma en que funcionan en las pruebas de penetración o los programas de recompensas por errores en algún momento entre ahora y 2028, y el 40 % dijo que ya ha cambiado la forma en que las personas piratean, y el 91 % de los piratas informáticos dijo que la IA generativa tampoco ya ha aumentado, o lo hará en el futuro, el valor de su trabajo.
Superar a un humano que realiza un trabajo repetitivo, a veces monótono, como el análisis de datos, es una cosa, pero la piratería como vocación también fomenta la creatividad del pensamiento, y es aquí donde la comunidad parece sentir que los humanos seguirán teniendo una ventaja, con un 72 %. diciendo que no creían que la IA fuera capaz de replicar estas cualidades.
“He hecho bastante con la IA y, por impresionante que sea, no creo que reemplace a los humanos durante bastante tiempo, si es que lo hace alguna vez”, dijo un encuestado, un veterano de seguridad cibernética de 20 años que piratea en la plataforma Bugcrowd usando el mango Nerdwell.
“La IA es muy buena en lo que hace: reconocer patrones y aplicar soluciones conocidas a problemas conocidos”, dijo. “Los seres humanos están diseñados biológicamente para buscar la novedad y la curiosidad. Nuestros cerebros están literalmente conectados para ser creativos y encontrar soluciones novedosas a problemas novedosos”.
Errores y problemas
Otro hacker de Bugcrowd, que se hace llamar OrwaGodfather, agregó: “La IA es excelente, pero no me reemplazará. Hay algunos errores y problemas, como cualquier otra tecnología.
“Sin embargo, puede tener un efecto en mi lugar en la piratería. Por ejemplo, la automatización tiene un enorme potencial para ayudar a los piratas informáticos”, dijo OrwaGodfather, quien comenzó a piratear en 2020 y cuando está lejos de su teclado trabaja como chef profesional.
“Puede facilitar las cosas y ahorrar tiempo”, dijo. “Si encuentro un error al realizar una prueba de penetración y no quiero pasar 30 minutos escribiendo un informe, puedo comenzar usando IA para escribir descripciones por mí. La IA hace que la piratería sea más rápida”.
¿Cómo utilizan los piratas informáticos la IA?
Cualesquiera que sean sus instintos, los piratas informáticos de Bugcrowd se están subiendo a bordo del tren de la IA; el 85 % dice que ha jugado con la tecnología de IA generativa y el 64 % ya la está incorporando a sus flujos de trabajo de seguridad de alguna manera; otro 30 % dijo que planeaba para hacer esto en el futuro.
Los piratas informáticos que han adoptado o planean adoptar la IA generativa se inclinan más por usar ChatGPT de Open AI (un cliente de Bugcrowd), citado por el 98% de los encuestados, con Bard de Google y Bing Chat AI de Microsoft en un 40%.
Aquellos que han dado el paso están utilizando la tecnología de IA generativa en una amplia variedad de formas, siendo las funciones más utilizadas el resumen o la generación de texto, la generación de código, la mejora de búsqueda, los chatbots, la generación de imágenes, el diseño, la recopilación o el resumen de datos y la máquina. aprendiendo.
Específicamente dentro de los flujos de trabajo de investigación de seguridad, los piratas informáticos dijeron que encontraron que la IA generativa es más útil para automatizar tareas, analizar datos e identificar y validar vulnerabilidades. Las aplicaciones menos utilizadas incluyeron la realización de reconocimientos, la categorización de amenazas, la detección de anomalías, la priorización de riesgos y la creación de modelos de capacitación.
Muchos piratas informáticos que no son hablantes nativos de inglés o que no hablan inglés con fluidez también utilizan servicios como ChatGPT para traducir o escribir informes y envíos de errores, y fomentar una mayor colaboración a través de las fronteras nacionales.
¿Qué es un hacker?
Durante la última década, el informe anual de Bugcrowd también ha tenido un propósito secundario, el de ayudar a humanizar a la comunidad de hackers y desbaratar los estereotipos negativos e inútiles de lo que realmente es un hacker.
Esto es particularmente importante dado que, a pesar de los años de rechazo e intentos de educar, muchas personas que deberían saber más confunden fácil e intencionalmente el término hacker con el término ciberdelincuente.
“Asumimos la responsabilidad de ayudar al mercado a comprender qué es realmente un hacker”, dijo Casey Ellis, fundador de Bugcrowd, director de tecnología y coautor del informe a Computer Weekly en la reciente feria cibernética Infosecurity Europe.
“Creo que cuando empezamos, todos asumieron que era algo malo”, dijo. “Unos 10 años después, ahora estamos en un punto en el que la gente entiende que la piratería es en realidad un conjunto de habilidades. Como la mayoría de los conjuntos de habilidades, es de doble uso. Es como forzar cerraduras. Si tienes esa habilidad, puedes convertirte en cerrajero o ladrón. No hay nada de malo en forzar cerraduras: es cómo lo estás usando en realidad. Hackear es lo mismo”.
¿Están bien los niños?
El 2023 ITMOAH El informe muestra cómo algunos cambios fundamentales en la cultura y la demografía de los piratas informáticos parecen estar listos para sacudir el panorama de la seguridad cibernética en los próximos años.
Por primera vez, revela el informe, la mayoría de los piratas informáticos activos, entre el 55 % y el 60 %, son ahora miembros de la generación Z que actualmente son adolescentes y tienen poco más de 20 años, mientras que entre el 33 % y el 36 % son millennials mayores de edad. finales de los 20 a principios de los 40.
Y a pesar de las raíces culturales de la piratería en la década de 1980, solo el 2% son miembros de la Generación X, aquellos nacidos entre mediados de la década de 1960 y aproximadamente 1980, los más jóvenes de los cuales ahora tienen alrededor de 45 años.
Entonces, ¿los estereotipos de los piratas informáticos adolescentes realmente están demostrando ser precisos y, lo que es más pertinente, los niños están bien? “Estamos viendo una aceleración bastante rápida de la participación de personas menores de 18 años”, dijo Ellis. “Todavía es una población muy pequeña, solo el 6%, pero ha aumentado del 3% interanual, lo que es un gran cambio”.
Dijo que esta tendencia será cada vez más relevante porque los adolescentes de hoy piensan sobre la tecnología de una manera fundamentalmente diferente a los que nacieron incluso unos pocos años antes.
“Tengo una hija de 15 años y la forma en que interactúa con la tecnología es completamente diferente para mí”, dijo Ellis. “Su introducción a la tecnología fue todo acerca de la interfaz, la mía fue todo acerca de la plomería. Simplemente pensamos en Internet de una manera fundamentalmente diferente.
“Ahora, sé cosas que ella nunca sabrá porque crecí con las tuercas y los tornillos, pero ella pensará en la interfaz de una manera que probablemente yo nunca lo haré porque estoy tan consumido con las tuercas y los tornillos.
“Hablas de los Millennials como nativos digitales, pero la Generación Z y los más jóvenes son en realidad nativos digitales”, dijo. “Son capaces de deambular por ese entorno de una manera intuitiva que realmente no podemos entender. Puedo tratar de empatizar con eso, y puedo hacer la mayor parte del camino, pero reconozco el hecho de que nunca lo entenderé completamente porque no es mi experiencia”.
Esta generación también está demostrando ser experta en desafiar las costumbres y suposiciones de sus mayores que a menudo se han incorporado a la tecnología, y Ellis dijo que esto les da una ventaja para descubrir qué vendrá después y dónde pueden estar las vulnerabilidades futuras.
La otra parte de esta tendencia es que los adolescentes de hoy están más motivados política y socialmente, y son más diversos, en formas que las personas mayores no tienen. Este factor ya está cambiando el panorama cibernético y ciertamente seguirá haciéndolo.
Tomemos como ejemplo a Lapsus$, el colectivo de extorsión cibernética dirigido por adolescentes que atacó los sistemas del servicio de viajes compartidos Uber en 2022 sin ninguna razón en particular aparte de que no les importaba la ética de Uber.
“Una de las grandes cosas que he estado diciendo desde Lapssus$ es que, como defensores, no estamos listos para un acto caótico”, dijo Ellis. “Hemos estado pensando en los ciberdelincuentes, los estados nacionales y los actores de amenazas como si tuvieran una motivación simétrica.
“Un estado nación quiere hacer avanzar a la nación, los ciberdelincuentes quieren dinero. Son predecibles. Y hay simetría en lo que están haciendo. La gente que llega con más inclinación por el activismo, realmente no sabes lo que quieren. Y en el caso de Lapsus$, es como… solo queremos hacer un lío porque esos tipos apestan. ¿Cómo te defiendes de eso? Realmente no hemos estado pensando de esa manera desde Lulzsec, que probablemente fue el último ejemplo de un grupo que hizo eso”.
Por supuesto, los adolescentes en la plataforma de Bugcrowd no están atacando a las organizaciones en el mismo sentido que lo hizo Lapssus$, pero en su historia hay una lección para la comunidad de hackers y los defensores, y claramente el potencial para canalizar la actividad que de otro modo podría gastarse. sobre actos maliciosos en el trabajo de seguridad legítimo es inmenso.
El informe completo, que se puede descargar para leer en su totalidad desde Bugcrowd, contiene una gran cantidad de información adicional sobre la demografía de los piratas informáticos: la brecha de género está aumentando, probablemente debido a la presión adicional que la pandemia de Covid-19 ejerce sobre muchas mujeres: motivaciones para piratear , lo que los piratas informáticos creen que los equipos de seguridad comunes deben hacer mejor y más.