"Todos dábamos por hecho que ya estaba ocurriendo, y esta es la primera prueba de que está sucediendo", afirma John Hultquist, analista jefe del Grupo de Inteligencia de Amenazas de Google, refiriéndose a los atacantes que utilizan la IA para descubrir nuevas vulnerabilidades y crear exploits.
"Los problemas relacionados con los estados nación son muy serios y muy reales, pero los delincuentes siguen siendo la causa principal de la gran mayoría de los incidentes que afrontan las organizaciones, y muchos de ellos son bastante graves", refiere Hultquist. Añade: "El uso de vulnerabilidades de día cero por parte de hackers ha sido bastante limitado, y quienes las utilizan suelen tener mucho éxito, así que no deberíamos subestimar el impacto que supone que más delincuentes tengan acceso a una vulnerabilidad de día cero".
Los tiempos ya no son los mismos
Sin embargo, para los investigadores que ganan dinero con la caza de bugs, los tiempos están cambiando. La herramienta de línea de comandos Curl finalizó su programa de recompensas por la detección de errores (gestionado a través del servicio externo HackerOne) en enero tras verse inundada de informes de baja calidad generados por IA.
"Hemos llegado a la dura conclusión de que una recompensa por fallos da a la gente incentivos demasiado fuertes para encontrar e inventar 'problemas' de mala fe que causan sobrecarga y abuso", escribió el grupo en ese momento, añadiendo que "todavía apreciamos y valoramos los informes de vulnerabilidad válidos".
La semana pasada, el creador y principal desarrollador de Linux, Linus Torvalds, escribió que la famosa lista de correo de seguridad de Linux se ha vuelto "casi totalmente inmanejable" debido al gran volumen y la duplicación de informes de fallos de IA.
Sin embargo, en abril, Daniel Stenberg, fundador y principal desarrollador de Curl, afirmó en un post de LinkedIn que la calidad de los envíos había mejorado. "En los últimos meses, hemos dejado de recibir informes de seguridad sobre fallos de IA en el proyecto Curl. En su lugar, recibimos una cantidad cada vez mayor de informes de seguridad realmente buenos, casi todos realizados con la ayuda de la IA. Se envían con una frecuencia nunca vista y nos someten a una gran carga".
Y a finales de abril, Google anunció que estaba revisando sus programas de recompensas por vulnerabilidades para Chrome y Android y reduciendo los pagos para algunas clases de errores, mientras que aumentaba otros. "A medida que el panorama de la investigación de seguridad evoluciona con la IA, estamos haciendo cambios en nuestros programas para asegurarnos de que estamos recompensando las vulnerabilidades más desafiantes e impactantes en nuestros productos", escribió la compañía.
La esperanza de una nueva infraestructura
"Creo que los expertos en detección de errores, que se encuentran entre el 10% superior y poseen habilidades especiales, siempre podrán encontrar vulnerabilidades y obtener recompensas de grandes empresas", afirma Jonathan Dunn, cardiólogo y también cazador de recompensas por la detección de errores. Explica: "Pero incluso con la IA, también necesitamos incentivar fuertemente a los investigadores éticos para que encuentren vulnerabilidades en la infraestructura pública y otros sistemas críticos que, de otro modo, podrían no recibir la atención suficiente por parte de los responsables de su seguridad".
Por ahora, la mayoría de las organizaciones parecen dispuestas a probar todas las soluciones posibles para abordar el problema (y los beneficios) de la detección acelerada de errores. "Esto está cambiando la dinámica del sector de la búsqueda de errores, pero sin duda sigue requiriendo tiempo humano", afirma Alex Zenla, director de tecnología de Edera, empresa de seguridad en la nube.
