0:00:01.4 Max Havey: Hola, y bienvenidos a una nueva edición de Security Visionaries, un podcast sobre el mundo de la cibernética, los datos y la infraestructura tecnológica, que reúne a expertos de todo el mundo y de todos los dominios. Soy su anfitrión, Max Havey, y hoy echamos un vistazo a algunas de las grandes tendencias de amenazas de 2024 y analizamos lo que puede estar en el horizonte en 2025 con nuestro invitado, Ray Canzanese, director de Netskope Threat Labs. Ray, gracias por acompañarnos.
0:00:25.1 Ray Canzanese: Oh, gracias por invitarme, Max.
0:00:26.8 Max Havey: Muy bien. Así que Ray, te voy a hacer algunas preguntas aquí sobre lo que has visto en los últimos 12 meses, y espero que puedas usar una mezcla de algunas ideas directas de tu propia investigación en Netskope, y también compartir algunos conocimientos de tu compromiso y colaboración más amplios con la comunidad de amenazas más amplia. Así que, para Inicio, se ha hablado mucho de cómo la IA está cambiando la seguridad. Así que comencemos preguntándonos, ¿has visto la metodología de amenazas que ha sido cambiada por la IA este año?
0:00:54.2 Ray Canzanese: Supongo que la IA ha cambiado la ciberseguridad desde sus inicios. La ciberseguridad es más que la IA. Lo hemos visto desde el principio. Comenzó con la heurística, luego con el Machine Learning, que siguió avanzando cada vez más. Ahora GenAI. Así que, por supuesto, está cambiando el Sector como siempre lo ha hecho. El año pasado, vimos que las herramientas de GenAI eran mucho más Usar por parte de los atacantes. Se han convertido en una herramienta muy útil para la ingeniería social y las estafas. Hemos visto muchos respaldos divertidos y falsos de celebridades. Tienes a alguna celebridad vendiendo algo. Todo lo que tienes que hacer es darle tu número de seguro social, toda la información de tu cuenta bancaria, todas tus tarjetas de crédito y la de todos tus amigos. Y luego obtendrás, no sé, cualquier invento raro de Nuevo que estén vendiendo. Hemos visto falsos directores ejecutivos que solicitan ayuda a los empleados. Para empresas, Correo electrónico, compromiso y otros tipos de ataques. También hemos descubierto que algunos atacantes emprendedores decidieron que podían vender sus propios LLM. Y así, tenemos LLM que se venden que son específicamente Usar para cosas como el compromiso del correo electrónico empresarial y cosas inherentemente nefastas.
0:02:09.7 Ray Canzanese: En el otro extremo del espectro, vemos que toda la tecnología Nuevo también es Usar por los defensores, especialmente con los LLM, que son realmente buenos para tomar cantidades masivas de datos y hacer que sea más fácil de entender. Es la herramienta perfecta para la ciberseguridad. Todos los profesionales de la ciberseguridad nos estamos ahogando en Datos, más Datos de los que jamás podremos mirar. Por lo tanto, tener herramientas que puedan examinar esos datos, resumir esos datos y darnos algo que podamos entender rápidamente, es una herramienta fantástica para un profesional de la seguridad. Y la otra cosa que supongo, que la IA ha cambiado, es que hay una clase de herramientas de Ahora a Nuevo de las que todos tenemos que preocuparnos como profesionales de la ciberseguridad. Entonces, no solo le preocupa todo lo bueno y lo malo que vienen con las herramientas de GenAI, sino también qué pasa con las herramientas en sí. ¿Están siendo Usar de manera segura? ¿Qué tipos de datos se les envían? ¿Los Datos con los que fueron entrenados fueron envenenados? ¿Es preciso? ¿Cómo se utilizan las personas las salidas? Todos estos divertidos desafíos de Nuevo también vienen con GenAI.
0:03:17.1 Max Havey: Absolutamente. ¿Y hubo alguna amenaza o campaña específica que le llamó la atención al revisar la investigación de este año, específicamente sobre las personas que abusan de las herramientas de IA generativa o que encuentran algunos de esos puntos débiles en las herramientas?
0:03:30.0 Ray Canzanese: Bueno, en lo que respecta a las herramientas, creo que toda la ingeniería social donde había algo de deep fake. Ya sea la voz de alguien, un video de ellos, alguien que se une a una llamada de Zoom, todo eso para mí realmente se relaciona como el Usar de IA más convincente para construir un cebo de ingeniería social para el que, honestamente, la gente no estaba muy bien equipada para lidiar. Está entrenado para pasar el mouse sobre un enlace y ver a dónde va realmente. ¿Qué haces cuando recibes una llamada telefónica de Sanjay Barry, mi CEO, y te dice: "Ray, rápido, dame los números de las cuentas bancarias, necesitamos transferir algo de dinero"? No había ningún entrenamiento que me preparara para eso. Y todos esos tipos de ataques de ingeniería social son muy, muy novedosos y nos hacen replantearnos lo que tenemos que hacer en respuesta.
0:04:23.0 Max Havey: Así que hay una nueva frontera en todo eso, y hay que aprender a identificar ese tipo de cosas que parecen sospechosas en el sentido general, no sólo en el sentido del pH, sino en lo que la gente debería estar atenta a la hora de identificar ese tipo de estratagemas de ingeniería social basadas en la IA generativa.
0:04:41.1 Ray Canzanese: Sí, es una buena pregunta, y creo que tampoco es una pregunta sencilla. porque si me preguntaras hace 20 años, qué debería buscar la gente en el phishing Correo electrónico, te puedo decir lo que la gente debería buscar en el phishing Correo electrónico. Y luego avanzamos 20 años y lo que está pasando, la gente sigue haciendo clic en los enlaces y cayendo en el phishing. Ya hay mucha carga sobre el ser humano individual para tomar estas decisiones. Así que les dices: "Bueno, deberías pensar más críticamente cuando recibas una llamada de Sanjay Berry. ¿Sanjay te llama normalmente? ¿Normalmente te pide números de cuentas bancarias? Y tú dices: "No, él normalmente no hace esas cosas, no debería caer en esto". O, "¿Es realmente Elon Musk en YouTube ahora mismo pidiéndome que le dé 10.000 dólares?" No, Elon Musk no necesita que le des 10.000 dólares. Así que le pides a la gente que piense de manera más crítica sobre esas cosas, pero la carga también recae en quienes trabajan en el sector de la ciberseguridad. ¿Cómo podemos reducir esa carga sobre el individuo? Hasta qué punto podemos ayudarles a que nunca vean estas estafas, estos enlaces de phishing, y hasta qué punto podemos ayudarles a tomar decisiones más informadas.
0:06:00.2 Ray Canzanese: Nunca sabré completamente lo que está pasando en tu vida cuando estás navegando por la Web y estás a punto de contestar una llamada telefónica o hacer clic en un enlace. Pero sé algo sobre la procedencia de donde vino ese vínculo, la probabilidad de que sea real. Y en la medida en que puedo ayudarte, que puedo darte información que dice, ten cuidado cuando estés en esta llamada telefónica, aunque no estoy realmente seguro de que sea quien dice que es, eso hace las cosas un poco más fáciles para el ser humano y, con suerte, nos hace a todos un poco más seguros.
0:06:36.0 Max Havey: Definitivamente, es tener esas herramientas en el lugar correcto y saber cómo usarlas y cómo aplicarlas en esas situaciones en las que no tienes a un profesional de la ciberseguridad mirando por encima del hombro en todo momento.
0:06:46.3 Ray Canzanese: Derecha. Y yo me estaba antropomorfizando como una herramienta de ciberseguridad allí, pero el concepto es válido. Es que cuando usas estas herramientas, es como si alguien estuviera sentado allí, observando lo que estás haciendo y tratando de ayudarte, pero no lo sabe todo. No conocen todo el contexto sobre lo que estás haciendo, con quién interactúas normalmente. Y siempre hay una zona gris. Y ayudar al ser humano a lidiar con esa área gris es algo en lo que nosotros, como profesionales de la ciberseguridad, podemos hacer mejor. Cuando es en blanco y negro, es fácil. Cuando podemos decir: "Sí, esto es definitivamente bueno, y sí, esto es definitivamente malo". Podemos darnos una palmadita en la espalda por la victoria, pero siempre está esa zona gris, y esa es la difícil.
0:07:29.6 Max Havey: Ciertamente. ¿Ha visto que estas tendencias de amenazas en evolución en torno a la IA se reflejen en cambios organizacionales en la forma en que protegen la IA o utilizan la IA para la seguridad? ¿Cómo es eso, cómo has visto que ha evolucionado este año?
0:07:41.3 Ray Canzanese: Sí. Creo que 2024 fue interesante, en comparación con 2023, creo que 2023 fue el año de la IA en todo. Por ejemplo, ¿te imaginas cuánto mejor sería mi inodoro si tuviera IA? Y en 2024, parecía que nos habíamos dado cuenta de que no se necesita IA en todo. Y que si me dices que no, cuando le pregunto si necesito usar 90 aplicaciones de IA diferentes para completar mi trabajo, esa es una buena respuesta. Porque resulta que no necesito 90 aplicaciones de IA diferentes para ser eficaz en mi trabajo. Y así, 2024 parecía ser el año del apretón de tuercas. Vimos que más Organización ejercía más control sobre lo que estaba pasando. Vimos que el número de bloqueos aumentaba y decía: "Hemos decidido que solo puedes usar estas tres aplicaciones y vamos a bloquear todas las demás". Eso se convirtió en una estrategia más común.
0:08:33.9 Ray Canzanese: La otra cosa que realmente vimos aumentar es que la Organización dijo que sí a la IA, que es la gran mayoría de ellos, como por encima del 94%. Ahora pienso, es: "Sí, pero. " y han puesto muchos controles DLP alrededor de las aplicaciones de IA. Específicamente, están mirando lo que la gente está publicando y diciendo: "Bueno, ¿es Datos? ¿Son secretos? ¿Es código fuente? ¿Es algo que no quiero que salga de mis límites protegidos?" Y si no es así, simplemente impidátelo hacerlo y diga que no, o haga algo de mi punto anterior, algo de entrenamiento y diga: "Oye, parece que estás a punto de publicar algo que parece datos regulados en ChatGPT. ¿Estás seguro? Porque te recomendamos que no lo hagas. Así que de alguna manera empoderas al usuario cuando hay un área gris allí para tomar la decisión correcta.
0:09:34.2 Max Havey: Absolutamente. Tener ese tipo de soluciones provisionales y atrapar a las personas en el último momento antes de que hagan algo como subir secretos corporativos a ChatGPT o algo por el estilo.
0:09:43.4 Ray Canzanese: Correcto, correcto. Porque la respuesta podría ser que, si bien esto puede parecer un secreto corporativo para ti, en realidad no es un secreto. Y lo sé, por lo que estoy feliz de continuar, pero descubrimos que ese tipo de estrategia de entrenamiento solo a tiempo es muy efectiva. La cantidad de veces que alguien decide continuar después de que se le haya solicitado un mensaje del tipo "¿Estás seguro?" es menos de la mitad. Es un control bastante efectivo solo darle a alguien una revisión visceral y preguntarle: "¿Estás realmente seguro de esto?" Simplemente no lo hagas cada vez que hagan clic en algo. Asegúrate de hacer esa pregunta con moderación para que pueda mantener su efectividad.
0:10:26.4 Max Havey: Absolutamente. Así que no para inundarlos, sino solo en las circunstancias más importantes.
0:10:30.2 Ray Canzanese: Correcto, correcto. Por ejemplo, "¿Estás seguro de que quieres visitar este sitio web? ¿Estás seguro de que quieres hacer clic en ese enlace?" Puedes ver cómo eso se volvería molesto muy rápidamente. Y tu respuesta siempre es automáticamente: "Sí". Porque la respuesta es realmente déjame en paz, estoy tratando de trabajar aquí.
0:10:46.3 Max Havey: Bueno, Ray, para cambiar un poco de marcha aquí, he visto muchos más artículos este año en los medios de comunicación sobre amenazas cibernéticas y, por lo general, hablando de las acciones de los actores de los estados-nación. Quería tener una idea, ¿su equipo de investigación detectó alguna tendencia notable de ataques cibernéticos de estados nacionales este año? Y si es así, ¿cuáles eran?
0:11:04.6 Ray Canzanese: En general, los estados nacionales, vimos dónde teníamos la mayor actividad de APT contra nuestros clientes. Y, de nuevo, nuestra base de clientes es global. Tenemos clientes en todos los continentes, eran las fiestas de siempre. Rusia, Corea del Norte, Irán y China fueron los cuatro primeros por un amplio margen. No es realmente sorprendente porque la actividad de ciberseguridad geopolítica es generalmente solo un reflejo de tendencias geopolíticas más amplias. Y así, donde se ven conflictos, ahí es donde también se va a ver la actividad de ciberseguridad. Y grupos activos de APT. La segunda tendencia que vimos allí, vimos una gran cantidad de Broker de acceso inicial muy activo. Estas son organizaciones cuya especialidad es simplemente la infiltración, encontrar una forma de entrar y luego vender esa forma a otra persona que tenga algo que quieran hacer con esa forma de entrar. Así que esto es parte de eso, como la especialización dentro de la comunidad adversaria. Vimos un montón de herramientas comunes cada vez que hay una herramienta como Cobalt Strike, un marco de comando y control muy potente y efectivo que ha sido hackeado y modificado tantas veces que parece que todo el mundo lo está usando. Así que vemos estas herramientas comunes en términos de tendencias comunes, más bien en términos de qué herramientas se están utilizando.
0:12:30.0 Ray Canzanese: Y luego supongo que el tipo de tendencia final que vimos fue que, además de esto, llamémoslo tradicional, actividad de ciberseguridad de phishing e intentos de infiltración, piratería y ransomware y todas esas cosas, vimos mucha desinformación, mucho espionaje, muchos intentos de desestabilización, muchos intentos de división. Mucho de esto sucede en las redes sociales. Y así, no solo tienes esta actividad tradicional de ciberseguridad, sino que tienes muchas otras cosas que están más a la vista y que afectan a todo el mundo. Y así es sólo... Al punto anterior de ¿qué esperamos del individuo? Y el individuo está tan abrumado. Hay mucho ruido. No sé si tuve que pensar tanto en mi pasado sobre si algo que estaba leyendo en las noticias era cierto o no. Por lo tanto, hemos añadido mucha más carga cognitiva a todo el mundo, y eso hace que el panorama de la ciberseguridad sea aún más desafiante.
0:13:33.1 Max Havey: Absolutamente. Y de cara al futuro, ¿cómo espera que evolucionen este tipo de tendencias de los Estados-nación en el próximo año? ¿Serán las mismas naciones? ¿Esperas que estas metodologías evolucionen? ¿Cuál es tu perspectiva al respecto?
0:13:45.7 Ray Canzanese: Seguro. En términos de qué naciones será, eso depende en gran medida del panorama geopolítico. Y no soy un experto en geopolítica, pero llevo un tiempo vivo y algunas cosas parecen no haber cambiado en mi vida. Por lo tanto, no espero que el panorama geopolítico cambie drásticamente en términos de dónde están los conflictos en el mundo durante el próximo año. Por lo tanto, espero que muchas de las mismas regiones estén activas en términos de APT. Espero que toda esta desinformación, desestabilización, división continúe. Es aparentemente efectivo. Es una muy buena... Por bueno, quiero decir eficaz. Uso efectivo de las redes sociales.
0:14:27.9 Max Havey: Sí.
0:14:28.2 Ray Canzanese: Definitivamente no es un buen Usar de las redes sociales. La otra cosa que espero que veamos son ataques continuos a sectores que históricamente no han invertido en ciberseguridad. No podemos tener una conversación sobre los grupos de APT sin hablar de Salt Typhoon. Entonces, ¿qué tuvimos en el último año o dos? Tuvimos a Salt Typhoon atacando la infraestructura de telecomunicaciones en todo el mundo. ¿Y uno de los temas comunes en la respuesta de las empresas de telecomunicaciones cuando se les preguntó qué está pasando? Y es: "Bueno, construimos estos sistemas para la eficiencia, para la disponibilidad. No los construimos teniendo en cuenta las preocupaciones modernas de ciberseguridad". Y por eso espero ver más de eso. Se espera ver más de estas infiltraciones exitosas que pasan desapercibidas durante mucho tiempo porque la infraestructura de ciberseguridad no se integró en ese producto o ese sector desde el principio.
0:15:28.7 Max Havey: Definitivamente. Tuvimos a Kiersten Todt en nuestro episodio anterior hablando de sus predicciones para 2025 y hablando de Salt Typhoon y esperando, creo que más cosas en ese sentido de cara al futuro también parecen estar bastante en su mente.
0:15:42.0 Ray Canzanese: Sí, absolutamente. Muchos de nosotros pasamos mucho tiempo tratando de aprender todas las lecciones que podemos de lo que sucedió con el sector de las telecomunicaciones y Salt Typhoon.
0:15:52.3 Max Havey: Casi con toda seguridad. Y cambiando ligeramente de marcha, ¿hubo alguna tendencia de amenaza específica este año que hayas visto que te haya sorprendido más?
0:16:01.1 Ray Canzanese: Sí, es muy difícil sorprenderse cuando has estado haciendo esto el tiempo suficiente, pero hubo algo que me sorprendió un poco, y fue que vimos a más personas haciendo clic en enlaces de phishing este año en comparación con el año pasado. Y la razón, de nuevo, hablamos un poco de esto, la razón por la que me parece tan sorprendente es que pasamos tanto tiempo, y el phishing parece ser un mensaje central cuando hacemos una formación de concienciación sobre ciberseguridad, cómo detectar un phishing, cómo evitar hacer clic en un enlace de phishing. Y así, verlo realmente como aproximadamente el doble año tras año fue un poco como, "Oh no, ¿qué estamos haciendo mal?" Y por otro lado, la razón por la que no sorprende en absoluto es porque es En todas partes Ahora. La capacitación dice que recibes un Correo electrónico. Asegúrate de examinar tu correo electrónico. Pero si nos fijamos en dónde la gente hace clic en estos enlaces en busca de estafas y enlaces de phishing, no es Correo electrónico. Están haciendo clic en enlaces en redes sociales, anuncios, resultados de motores de búsqueda, DM que reciben a través de aplicaciones de mensajería. Es simplemente En todas partes. Y cuando algo está en todas partes, se vuelve mucho más difícil de evitar. Y creo que realmente lo que hemos estado viendo es una avalancha de phishing que viene de todos los ángulos. Eventualmente vas a atrapar a alguien de Proteja, y eventualmente van a hacer clic en uno de esos enlaces. Y desafortunadamente tuvimos más gente de lo habitual haciéndolo.
0:17:32.1 Max Havey: Sí. Es lo que pasa cuando se convierte en un juego de números, todo es cantidad. Y cuando lo recibes de mensajes directos, mensajes de texto, llamadas telefónicas y otros lugares, es difícil evitarlo.
0:17:42.2 Ray Canzanese: Es difícil evitarlo sin disociarse por completo. Como si nunca pudiera hacer clic en un enlace de phishing si nunca hiciera clic en un enlace en algo que alguien me enviara a ninguna parte. Y ese es el problema. Y así estás de nuevo en esa zona gris en la que yo... "Esto parece legítimo. Voy a hacer clic. Voy a ver qué está pasando aquí". Y así es como siempre terminaremos en este escenario.
0:18:06.3 Max Havey: Ciertamente. Y creo que volviendo a tu punto hablando del individuo, llega un punto en el que ya no es algo en lo que puedas confiar en el individuo en todo momento para mantenerse al día, especialmente cuando está a un volumen como el de sin desconectarse por completo.
0:18:20.2 Ray Canzanese: Derecha. Sí. Y no es que las estafas sean cosa de Nuevo. No es que esto sea un Nuevo Problema. El problema es el volumen de otras personas que encuentras en internet. Y que nunca se sabe quién es una persona real cuando se trata de alguien en Internet.
0:18:39.1 Max Havey: Ciertamente. Bueno, Ray, hemos cubierto mucho terreno hasta ahora, pero ¿hay alguna otra tendencia de amenaza específica que te haya llamado la atención y que aún no hayamos cubierto?
0:18:47.7 Ray Canzanese: Supongo que lo que realmente me llamó la atención y de lo que hablamos un poco fue la IA. Y por eso hablamos de la estrategia para el control. Donde vemos a más personas bloqueando aplicaciones Usar DLP para controlar el flujo de Datos allí. Lo que me llamó un poco la atención es que la tendencia creciente de Usar aún no se ha desacelerado. A lo largo de 2024, vimos que el número de personas en las aplicaciones empresariales de IA Usar se triplicó con regularidad. Me llamó la atención que eso sigue aumentando, que todavía no hemos llegado a una meseta allí, lo que significa que se esperan aún más cambios en el próximo año.
0:19:32.2 Max Havey: Ciertamente. Y eso me lleva a mi última pregunta real para ti, de cara a 2025, ¿hay alguna tendencia importante que veas en el horizonte que provenga de la investigación y las conversaciones que has estado teniendo con otras personas de la comunidad de amenazas?
0:19:44.5 Ray Canzanese: Sí, realmente para mí es este elemento humano. Si el ser humano está en el centro del riesgo de ciberseguridad y del lugar de trabajo moderno, Ahora, además de todas las demás herramientas y fuerzas que teníamos tirando de nosotros, Ahora tiene GenAI y todos estos deep fakes y enlaces de phishing bien elaborados y páginas de inicio de sesión falsas. Se ha vuelto mucho más difícil para las personas tomar decisiones informadas sobre cómo lidiar con los datos confidenciales y los protocolos de seguridad. Y de nuevo, como si el volumen fuera demasiado alto. Estamos pidiendo demasiado a demasiadas personas. Y entonces, para mí, creo que la tendencia es que seguiremos viendo la desinformación, la desestabilización, la división. Seguiremos viendo IA Usar para phishing y deep fakes y estafas, y va a ser un problema social realmente desafiante. No es solo un problema al que se enfrenta la organización. Por supuesto que estoy preocupado por mis empleados, por supuesto que estoy preocupado por mis datos, pero todo el mundo se enfrenta a estos desafíos en todo el mundo. Y por lo tanto, creo que el replanteamiento del Usar de esas Plataformas y cómo controlar el Usar de esas Plataformas para reducir el abuso va a ser un tema importante en el próximo año. Creo que para aquellos de nosotros en el sector de la ciberseguridad que buscamos asegurar la Organización, creo que nuestro enfoque debe ser y será reducir la carga cognitiva de los usuarios. ¿Cómo guiamos a las personas para que tomen la decisión correcta con menos carga cognitiva?
0:21:22.4 Max Havey: Absolutamente. Y me gusta que, a pesar de eso, creo que tienes razón en que vamos a seguir viendo muchas de estas tendencias más oscuras que siguen prosperando. La clave aquí es encontrar una manera de reducir esa carga cognitiva en las personas, en los usuarios que se encuentran con esto todos los días. Y eso también somos tú y yo, porque también somos personas. Y creo que encontrar mejores formas de lidiar con eso es una predicción realmente hermosa y una excelente manera de comenzar el año Nuevo. Esa es una buena resolución de algún tipo.
0:21:50.1 Ray Canzanese: Sí. No es fácil, pero es una buena área para que todos nos concentremos.
0:21:54.9 Max Havey: Ciertamente. Bueno, Ray, creo que eso lo hace para las preguntas que tengo por mi parte. ¿Hay algo más que te gustaría añadir?
0:22:02.1 Ray Canzanese: Sí, claro. Solo un pequeño enchufe.
0:22:04.0 Max Havey: Oh, sí, adelante.
0:22:04.4 Ray Canzanese: Puedes encontrar más información sobre las cosas en las que estamos trabajando en
netskope.com/threatlabs. Tengo un boletín mensual al que puedes suscribirte. Estoy en LinkedIn y también me acabo de unir a Bluesky. Así que puedes encontrarme en todos esos lugares.
0:22:21.4 Max Havey: Excelente. Bueno, Ray, muchas gracias por acompañarnos hoy aquí. Esta siempre es una charla agradable cuando puedo hablar con ustedes sobre las tendencias de las amenazas y, especialmente, cuando también podemos encontrar un poco de esperanza en esa conversación. Así que, muchas gracias por acompañarnos hoy aquí.
0:22:32.1 Ray Canzanese: Absolutamente. Gracias Max. Cuídate.
[música]
0:22:34.0 Max Havey: Muy bien. Has estado escuchando el podcast Security Visionaries y yo he sido tu anfitrión, Max Havey. Si te ha gustado este episodio, compártelo con un amigo y suscríbete a Security Visionaries en tu podcast favorito, Plataforma. Allí puedes escuchar nuestro catálogo de episodios y estar atento a los nuevos, que se lanzan cada mes, presentados por mí o por mi copresentadora, la maravillosa Emily Wearmouth. Y con eso, nos vemos en la próxima.
){kind=icon}
