Tom Burt de Microsoft habla sobre geopolítica y ciberseguridad en la era de la IA

A medida que las amenazas digitales proliferan en todo el mundo, cada vez es más difícil mantenerlas a raya. Las guerras ahora se libran tanto sobre el terreno como en el ciberespacio. Las nuevas tecnologías de IA pueden ayudar a prevenir los ataques cibernéticos o podrían, en ausencia de una regulación futura, ayudar a los malos actores.

Estos son algunos de los problemas que mantienen despierto a Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft. Nos reunimos con él durante su viaje por Asia. Habló sobre las amenazas emergentes a la seguridad cibernética en la región y su experiencia en el IIS Shangri-La Dialogue en Singapur, donde los jefes de defensa se reunieron a principios de junio para hablar sobre los desafíos de seguridad en Asia.

A continuación, una transcripción editada de nuestra charla.

P: Acabas de asistir a la conferencia de seguridad del IISS en Singapur. ¿Qué te llamó la atención? ¿Alguna sorpresa?

R: El año pasado, la guerra híbrida en Ucrania fue nueva y el uso de malware destructivo por parte de Rusia como parte de su invasión de Ucrania fue nuevo. Este año, todos siguen muy interesados en saber cuál es el entorno de amenazas y qué pueden hacer para solucionarlo.

La única parte que fue sorprendente, que ha recibido bastante atención en la prensa, fue la aparición del Secretario de Defensa de los Estados Unidos, y su discurso, y luego su análogo, el General Li de la República Popular China y su discurso un poco feroz, que creo que tomó a algunos de nosotros por sorpresa.

Dejó en claro que las tensiones entre las dos naciones siguen siendo altas.

En verdad reforzó la necesidad de que Microsoft sea un gran socio con los gobiernos de la región y, en especial, ayudarlos a tener una ciberseguridad sólida y resiliente.

P: Ha mencionado las amenazas a la seguridad cibernética por parte de los estados nacionales. ¿Cómo han evolucionado y qué se ha hecho desde entonces?

R: En términos del panorama de amenazas del estado nación, lo que vemos con Rusia es un esfuerzo continuo para que su actividad cibernética apoye su invasión y guerra con Ucrania. Lo que hemos visto en los últimos meses es un resurgimiento significativo de la actividad cibernética y la mayor parte ha sido para obtener información, inteligencia y comprensión de una amplia gama de objetivos dentro de Ucrania, así como en los EE. UU., el Reino Unido y la UE, en especial aquellos que apoyan la defensa de Ucrania, incluida la empresa privada.

Irán ha comenzado a intensificar su agresión. Aparte de Rusia en Ucrania, es el único otro estado nación que vemos en este momento que utiliza algún tipo de malware destructivo. Hemos visto a Irán utilizar ransomware para robar dinero y participar en una gama más amplia de ataques de recopilación de inteligencia.

A nivel histórico, han trabajado en gran medida en el Medio Oriente y se han enfocado en el sector energético, pero ahora los hemos visto extenderse mucho más en todo el mundo, en especial en los EE. UU. y en una gama más amplia de sectores.

Corea del Norte ha continuado su participación en la recopilación de inteligencia, en especial en la región, y en particular en Japón, pero también en los EE. UU. y otros objetivos regionales, como la academia y los grupos de expertos, así como algunos objetivos de tecnología militar.

Pero el gran desarrollo con Corea del Norte es su gran éxito en el robo de criptomonedas equivalente a cientos de millones de dólares, suficiente para que su operación cibernética se haya convertido en un importante financiador de las operaciones del gobierno.

Y luego está China.

Hemos visto a China continuar e incluso expandir sus operaciones cibernéticas para recopilar inteligencia e información a nivel mundial, pero con un enfoque particular en la región de Asia Pacífico, en los países del sudeste asiático en particular.

De manera reciente, el equipo de Microsoft Threat Intelligence publicó un blog sobre este gran trabajo que realizaron de rastrear a un actor chino llamado Volt Typhoon que participó en algunos ataques muy creativos por medio de dispositivos IoT, como un medio para ingresar a las redes en objetivos de infraestructura crítica en Guam y en el Estados Unidos.

P: Usted mencionó que la guerra híbrida en Ucrania es todavía objeto de interés. ¿Hay implicaciones o lecciones aquí para Asia?

R: Tal vez la lección más importante fue la importancia de la nube a hiperescala.

Al comienzo de la guerra, uno de los primeros misiles lanzados por Rusia apuntó al centro de datos del gobierno de Ucrania. Y Ucrania acababa de aprobar leyes que les permitían moverse a la nube.

Sabemos que la seguridad en la nube de hiperescala es mucho mayor de lo que puede proporcionar en las instalaciones. Lo demostramos en Ucrania, cuando Defender for Endpoint de Microsoft usó un algoritmo de IA para identificar el malware de limpieza ruso y evitar que se instalara en la red del cliente.

Con los 65 billones de señales que ingresamos a Microsoft desde nuestro ecosistema global todos los días, podremos entrenar una IA cada vez más capaz para identificar códigos y sistemas que no sirven para nada y proteger a nuestros clientes.

La otra lección que aprendimos fue cómo el trabajo que hace el equipo de Microsoft Threat Intelligence para rastrear a estos actores del estado nación proporciona un gran recurso para ayudar a defenderse contra estos ataques.

Ha habido momentos en los que hemos podido proporcionar esa inteligencia de amenazas con la suficiente rapidez para evitar un ataque, y hay otros momentos en los que esa inteligencia de amenazas les ha ayudado a recuperarse más rápido.

La solución correcta es continuar la construcción alianzas entre gobiernos y trabajar juntos sobre cómo podemos defendernos mejor contra las ciberamenazas. La guerra híbrida en Ucrania deja en claro cómo los sectores público y privado deben trabajar juntos para lograr la paz digital. Esas son en realidad las lecciones clave aprendidas.

P: ¿También ha visto que los ataques se vuelven más sofisticados debido a la IA?

R: Todavía no.

Lo que hemos visto son adversarios que utilizan la IA para mejorar sus operaciones de influencia, la propaganda que crean y distribuyen para intentar influir en la opinión de los ciudadanos de otros países. Tanto los rusos como los chinos han invertido mucho en su red de operaciones de influencia que operan en todo el mundo. Hemos comenzado a ver que se utilizan herramientas de inteligencia artificial para mejorar la propaganda de video, imagen y texto, y espero que esta tendencia continúe.

También ha habido una serie de informes de ciberdelincuentes que mejoran la calidad de su phishing mediante el uso de modelos de lenguaje grandes para crear un lenguaje más persuasivo.

P: ¿Por qué cree que todavía no vemos muchos atacantes que usan IA? ¿Es porque la IA requiere el tipo de recursos en términos de computación que podrían no ser accesibles tan fácil?

R: Sí, por eso mismo. El gasto y la complejidad de los recursos necesarios (técnicos, de ingeniería y financieros, la construcción de los centros de datos de las supercomputadoras, la obtención de las GPU) significan que será más desafiante.

Ahora, será importante que nosotros y otros desarrollemos una IA responsable de una manera en la que no hagamos que esos recursos informáticos sean accesibles para los malos actores.

Eso se aborda con más detalle en nuestro documento técnico de nuestra Oficina de IA Responsable que describe las formas apropiadas en que los gobiernos deberían regular la IA.

P: ¿Qué sigue?

El próximo paso en nuestra evolución es Microsoft Security Copilot.

Está diseñado para ayudar a un respondedor de incidentes a usar indicaciones (prompts) simples en inglés para reunir todos los datos necesarios para responder a un incidente desde múltiples plataformas en el sistema de un cliente. Un respondedor de incidentes ya no debe tener una gran experiencia en una gama de herramientas de respuesta a incidentes esotéricas y desafiantes. De esta manera, Security Copilot también ayuda a abordar la importante brecha que enfrentamos en la oferta de profesionales de ciberseguridad.

Nuestro equipo de seguridad dice que acortará los tiempos de respuesta en algunos casos de días a solo horas al reunir esta información en formas nuevas, más perspicaces y más simples.