OPINIÓN

Los script kiddies o piratas inexpertos, un peligro real para la ciberseguridad



Dirección copiada

Los hackers novatos tienen menos experiencia con exploits de ciberseguridad y confían en programas preescritos que encuentran en Internet

Publicado el 4 jun 2024

Len Noe

Technical evangelist and white hat hacker de CyberArk



Hacker teaching script kiddie to hack PC
New member in hacking group receiving guidance from knowledgeable rogue programmer acting as his mentor in hidden base. African american hacker teaches script kiddie how to hack computers

Qué son los script kiddies

La seguridad sigue siendo una de las principales preocupaciones de las organizaciones. Incluso ciberdelincuentes sin experiencia pueden utilizar la IA generativa para llevar a cabo ataques, lo cual demuestra la creciente necesidad de medidas de seguridad por capas, basadas en una política de confianza cero.

Pero lo realmente preocupante es que las soluciones de inteligencia artificial generativa (GenAI) son objetivos ideales para los llamados “script kiddies”, un término que se refiere a individuos que no tienen ninguna habilidad tecnológica particular y que descargan herramientas de pirateo para llevar a cabo ataques, sin comprender ni preocuparse por su funcionamiento interno. Los “script kiddies” tienen menos experiencia con exploits de ciberseguridad y confían en programas preescritos que encuentran en Internet. Además de que tienen menos destreza hackeando, utilizan ataques más fáciles, investigan poco y su única intención suele ser la aclamación personal, por lo que se centran más en la cantidad de ataques que en la calidad de los mismos.

Los “script kiddies” tienen menos experiencia con exploits de ciberseguridad y confían en programas preescritos que encuentran en Internet. Además de que tienen menos destreza hackeando, utilizan ataques más fáciles, investigan poco y su única intención suele ser la aclamación personal, por lo que se centran más en la cantidad de ataques que en la calidad de los mismos

LEN NOE

Cómo hackear un chatbot sin conocimientos técnicos

Para hackear un chatbot no se necesitan conocimientos técnicos avanzados. Tan solo convencer al chatbot de que está bien que haga lo que se le está pidiendo, de ahí que resulte tan sencillo como dar a la IA órdenes para que anule las instrucciones básicas proporcionadas por el desarrollador. Este proceso se denomina “jailbreaking” del prompt. Así, haciendo jailbreak a ChatGPT, los atacantes pueden desbloquear una serie de funciones restringidas, como generar datos no verificados, expresar pensamientos auténticos sobre diversos temas, proporcionar respuestas únicas, compartir chistes de humor negro, hacer predicciones futuras, satisfacer las demandas de los usuarios y mostrar resultados sobre temas restringidos por las políticas de OpenAI. Pero lo peor de todo es que muchos de estos atacantes no son conscientes de las posibles consecuencias que pueden causar sus acciones y no tienen en cuenta los daños colaterales de segundo, tercer y cuarto nivel.

Técnicas de jailbreaking

El crecimiento de estas técnicas de jailbreaking nos permite ver, realmente, la expansión de la superficie de ataque, pues nos encontramos en un momento en el que cualquiera con acceso a Internet puede utilizar las versiones gratuitas de ChatGPT o de cualquier chatbot de inteligencia artificial y, siempre que pueda formular la pregunta correctamente, obtener la respuesta que busca. De ahí que las preocupaciones se extiendan más allá de los exploits de script kiddies por sí solos, pues el uso de la IA por parte de los ciberdelincuentes, como en el desarrollo de malware polimórfico, también es un problema y nos hace plantearnos otros riesgos. Porque esta será la nueva normalidad, razón por la cual necesitamos asentar las bases de que la seguridad de la identidad sea la piedra angular de cualquier enfoque de seguridad por capas.

Confianza cero

Sobre todo, porque adoptar los principios de confianza cero contribuirá a proteger tanto nuestra identidad física como la de nuestras máquinas. Zero Trust hace hincapié en la importancia de contar con los controles adecuados para identificar, con precisión, las amenazas reales, al tiempo que considera el posible uso indebido de la tecnología de IA tanto por los ciberdelincuentes como por los actores legítimos de amenazas. Sin embargo, hay varias mitigaciones específicas que las empresas pueden poner en marcha, entre ellas, la arquitectura segmentada; seguridad de la identidad para todos los accesos humanos y de máquinas; autenticación multifactorial adaptativa como principio básico de seguridad; gestión de acceso privilegiado con contraseñas complejas, únicas y que se cambien con frecuencia; y, por último, la gestión de privilegios del endpoint y el control de aplicaciones, que incluye la capacidad de restringir los grupos más privilegiados en Active Directory.

Las herramientas relacionadas con estas mitigaciones no son nuevas. Lo que es diferente es cómo los profesionales de la seguridad debemos aprovechar el conocimiento adquirido en esta materia, haciendo hincapié en la superposición de la protección (la verdadera defensa en profundidad), el enfoque de seguridad segmentado en capas y, en última instancia, una sólida política de Zero Trust.

Artículos relacionados

Artículo 1 de 2