Con el uso de inteligencia artificial (IA) por parte de los actores de amenazas limitado en gran medida a crear señuelos de phishing y ingeniería social más efectivos, y los ataques de ransomware orquestados por IA aún están lejos (si es que alguna vez suceden), el 63% de los directores de seguridad de la información del Reino Unido (CISO) dicen que si bien la amenaza potencial de los ciberataques de IA es alta o crítica, y el 62% está de acuerdo en que no están equipados para enfrentarlos, las mayores amenazas para sus organizaciones siguen siendo el ransomware, los ataques a la cadena de suministro y las vulnerabilidades de software.
Esto es según una encuesta realizada entre miembros de la comunidad de seguridad ClubCISO, que encontró que el 40% de los líderes de seguridad se resisten a cambiar sus prioridades de gasto, y el 77% aún no ha cambiado sus planes de gasto cibernético para tener en cuenta la IA.
“Nuestra encuesta a los miembros destaca que, a diferencia de algunos de los informes que hemos visto sobre la IA, los CISO están adoptando un enfoque mesurado y de esperar y ver antes de tomar cualquier decisión de inversión significativa”, dijo Rob Robinson, director de Telstra Purple EMEA. , que opera la comunidad ClubCISO.
“Si bien la IA tiene el potencial de aumentar una variedad de tácticas de ataque, como la creación de ataques de ingeniería social más convincentes, los CISO están claramente más preocupados por las amenazas tal como están hoy”.
Robinson dijo que esto puede reflejar la evolución del papel del CISO en los últimos años para convertirse más en un “conductor estratégico” en lugar de expertos técnicos, y son más capaces de equilibrar su reacción ante nuevas amenazas y tener en cuenta factores como la macroeconomía. riesgo y habilidades.
Cuando los miembros del ClubCISO han tomado algunas medidas de precaución contra los ataques cibernéticos habilitados por la IA, estas medidas se han producido en forma de capacitación mejorada en seguridad cibernética, enseñando a los equipos de seguridad a reconocer los signos de los ataques cibernéticos mejorados por la IA y defenderse de ellos, o aprovecharlos. de sus capacidades defensivas. Son menos los que realmente invierten en soluciones tecnológicas.
Los hallazgos de la encuesta también pueden sugerir que combatir futuros ciberataques basados en IA puede que en realidad no requiera un gran cambio de prioridades o una mejora drástica de las habilidades, lo que contrasta con las opiniones de otros observadores.
ClubCISO sugirió que sus miembros estaban claramente “manteniendo el rumbo” en sus planes de resiliencia, y que el crecimiento de la IA como vector de amenazas aún puede ser manejable mediante la optimización de las capacidades y procesos existentes.
De hecho, a pesar de hablar de una brecha de habilidades cibernéticas y de inteligencia artificial, solo el 6% de los líderes de seguridad están contratando más personal con las habilidades para reconocer y manejar ataques cibernéticos de IA, y solo un porcentaje marginalmente mayor (7%) está contratando personal con las habilidades para implementar IA. defensivamente.