Clément Domingo (hacker ético): “No estamos utilizando correctamente la IA para defendernos”

Durante la celebración de Kaspersky Horizon el pasado 1 de julio en Madrid, Clément Domingo, hacker ético y evangelista de la ciberseguridad participante en dicho evento, contrajo el compromiso de mantener un encuentro con la publicación CSO para hablar más en profundidad de ciberseguridad, de cómo le afecta el desarrollo de la inteligencia artificial (IA), o de cómo funcionan las empresas centradas en el cibercrimen.

El funcionamiento de una ‘startup’ delictiva

Y es, precisamente, por esta última cuestión por donde comienza este encuentro mantenido a través de correo electrónico; pues su número crece día a día al calor de un negocio cada vez más lucrativo.

“Una startup ciberdelictiva es similar a una startup clásica, pero dedicada al cibercrimen de una forma muy eficiente —escribe para comenzar—. La mayoría cuenta con lo que llamamos afiliados, lo que les permite operar en todo el mundo y atacar a cualquier organización o entidad. En la mayoría de los casos, la startup se queda con el 20% del rescate y el cómplice se lleva el 80%”.

Se trata de empresas que, como detalla, ofrecen todas las herramientas y procedimientos necesarios para cometer delitos cibernéticos, tales como robar credenciales de empleados, los mejores mercados en la dark web, personas encargadas de recursos humanos, finanzas, negociación y mucho más.

“Para que nos hagamos una idea, —explica— operan casi como cualquier otra empresa: disponen de oficinas, buen equipo e incluso hacen actividades de team building… Si se piensa bien… ¡es una locura!”, reconoce, para añadir: “Su infraestructura depende del grado de madurez del grupo de ransomware. Algunas son muy avanzadas. Por ejemplo, muchos en el ecosistema del cibercrimen operan detrás de un host a prueba de balas (BHP), por lo que su infraestructura, incluso si proporcionan malware, comando y control o cualquier otro elemento malicioso, es difícil de derribar porque es algo que no importa a los proveedores que hay detrás, pues se les paga en criptomonedas. Hablar de la infraestructura del cibercrimen puede ser abrumador; te das cuenta de que realmente saben cómo operar y ocultarse… Por eso, a veces, a veces a las fuerzas del orden les resulta tan difícil desmantelar esas infraestructuras”.

La “cantera” de la ciberdelincuencia

La ciberdelincuencia se nutre de una cantera cada vez más precoz, como reconoce Domingo. Incluso aporta un dato que estremece y da mucho que pensar: “Puedo dar fe de que cada vez son más jóvenes… ¡la media es de 13 años!”.

Después, afrontar un proceso de “maduración” gracias a otros compañeros de actividad. Una frase de entrenamiento para saber hasta dónde son capaces de llegar.

Pero la revelación clave es que, en no pocos casos —y ahí radica el peligro según Domingo— es que “algunos de ellos no lo hacen por dinero, sino por la gloria, para poder decir: “¡Mira qué empresa he sido capaz de hackear!”. Pero los daños son enormes”.

Una vez descubierto el mundo de la ciberdelincuencia y, sobre todo, que muchas empresas, especialmente las más pequeñas, están dispuestas a pagar unos cuantos dólares o miles de dólares, “ya comienzan a tomarse en serio esta actividad, lo que los lleva a dedicarse a ella de manera profesional”. En este punto, “la gloria y el dinero atraen a algunos, pero para otros es una simple cuestión de ideología. Según he podido comprobar en todos los conflictos que ocurren en el mundo, muchos ciberataques se llevan a cabo para protestar o reivindicar algo”, dice.

Cómo disuadir a esa “cantera”

“Esta es una pregunta muy complicada”, reconoce Clément Domingo. A su juicio, existen muchas vías para entrar en este mundo: a través de códigos de trucos para videojuegos o mediante la programación, sin olvidar que pueden tirarse horas en algunos canales de Discord o en Telegram; “que, por cierto, es la nueva dark web”, apunta al respecto.

“Por las muchas infiltraciones que hago, puedo decir que algunos entran en los grupos porque quieren aprender a programar o simplemente porque son curiosos. Luego, poco a poco reciben acercamientos que, con el tiempo, cristalizan en proposiciones para realizar tal descarga, o si se animarían a realizar este otro. Es así de sencillo como entran en este mundo”

Porque existe una herramienta clave para luchar contra ese aumento inusitado de jóvenes que se sienten atraídos por la ciberdelincuencia: la educación cibernética. “Es muy importante —recalca—. Si estos chicos hubieran visto antes que se pueden hacer cosas interesantes en el ciberespacio, quizá no se habrían rebelado en primer lugar. Pero para eso, nuestros Gobiernos y escuelas deben tener programas para formarlos y lugares en los que puedan aprender mientras se divierten, porque la cibernética y la inteligencia artificial son divertidas cuando se conocen todas sus posibilidades de hacer el bien”.

“En mi trabajo diario como hacker ético, voy a muchos colegios y también me reúno con jóvenes para contarles mi trayectoria e intentar despertar en ellos el deseo de convertirse en hackers éticos”, añade.

El impacto de la IA en la ciberdelincuencia

La IA está remodelando todo nuestro ecosistema, nuestro mundo, “y eso lo saben los ciberdelincuentes”, sostiene este hacker ético.

Clément Domingo reconoce que aquéllos utilizan cada vez más la IA en sus ataques y en su forma de interactuar con los objetivos. Es muy fácil alojar o crear tu propio mal oscuro, lo que quieras, lo que se te ocurra, pues una IA que será el cerebro de tu ciberdelincuencia. Cuando observo lo que está sucediendo ahora mismo, debo confesar que no estamos utilizando correctamente la IA para defendernos porque es demasiado pronto, y luego nos quejaremos o nos arrepentiremos cuando ya sea demasiado tarde. Todas las grandes empresas que compiten en el ecosistema de la IA están obsesionadas con ser las primeras en lanzar esta nueva versión de LLM/IA que es capaz de clonar en segundos voces, rostros o lo que sea… ¡sin protegerla! ¿Qué hacen los ciberdelincuentes? Lo lógico: usarlo contra nosotros”.

Pero también hay que poner parte de esta situación en el debe de las empresas. “Muchas piensan que la IA es mágica, por lo que pueden implementar nuevas aplicaciones impulsadas por la IA sin asegurar lo básico. Así que, una vez más, es fácil para los ciberdelincuentes abusar de ello. Últimamente hemos visto cómo algunas empresas, como McDonald’s, utilizaban una IA que fue hackeada con la contraseña 123456 y dio acceso a 64 millones de solicitudes de empleo en todo el mundo”.

Cómo establecen los ciberdelincuentes las demandas económicas

Es ésta una cuestión impulsada por la curiosidad personal y como tal se la planteamos: “La mayoría de las veces, existe un “acuerdo cibernético educado” en el ecosistema de la ciberdelincuencia. ¿Qué significa eso? En caso de ser atacada una empresa, se le pedirá entre el 1 y el 10% de sus ingresos anuales. No obstante, también pueden basarse en lo que leen, escuchan o ven en los medios, lo que los lleva a hackear una empresa y pedir un rescate”.

Asimismo, Clément Domingo constata que en los últimos meses ha crecido el número de pymes atacadas porque, en su opinión, “algunos ciberdelincuentes de bajo nivel se han dado cuenta de que es más interesante atacar a estas empresas y pedir una cantidad baja que atacar a una grande y pedir una cantidad elevada”.

Entonces, ¿es posible ir un paso por delante de ellos? “¡Por supuesto que es posible!”, responde, categórico. Y argumenta su respuesta de la siguiente manera: “Es lo que llamamos CTI (Cyber Threat Intelligence, inteligencia sobre amenazas cibernéticas): la capacidad de detectar todas las señales ilegales y analizar muchos parámetros que suceden en un dominio específico y permiten comprender también el ecosistema geopolítico y estar un paso por delante”.

Por lo tanto, este es su consejo: “Para defender nuestras industrias, nuestra libertad en Internet y derrotar a estos ciberdelincuentes, es necesario pensar como un atacante. Pero, para ser sinceros, son mucho mejores que nosotros porque no luchamos con las mismas armas cibernéticas. El ámbito de la ciberseguridad está muy atrasado y, en algunas partes del mundo, su complejidad puede ser tanta que llegar a complicar la ciberdefensa. De ahí la necesidad de terminar diciendo que la gente no entiende nada de ciberseguridad porque muchos profesionales se basan en los aspectos técnicos. Y, por desgracia, si mi abuela no se entera de qué va la película, es muy complicado prepararnos para lo que pueda venir. Por lo tanto, debemos cambiar nuestra forma de hablar sobre ciberseguridad porque es importante para el futuro”.