Todavía estamos en los primeros días de inteligencia artificial, pero se está convirtiendo rápidamente en una parte esencial de cómo se defienden las organizaciones. Utilizando algoritmos avanzados, las empresas están mejorando la respuesta a incidentes, monitoreando posibles amenazas y descifrando señales de alerta antes de que surtan efecto. También se puede usar para ayudar a identificar vulnerabilidades que un humano puede haber pasado por alto.
Estas son todas las funciones esenciales que pueden elevar los sistemas de defensa cibernética por encima de las estrategias reaccionarias (y que consumen mucho tiempo) del pasado. Sin embargo, muchas organizaciones aún tienen que aprovechar la aplicación más importante de AI en defensa cibernética: su falta de simpatía.
Aprovechando tu confianza
Iniciada y ejecutada por un humano con excelentes habilidades de teléfono o correo electrónico, la ingeniería social no involucra los hacks de alta tecnología que dominan los titulares. En cambio, un pirata informático juega con un agente de servicio al cliente o cualquier otra persona con información que un pirata informático está tratando de obtener, como el número de teléfono celular involucrado en la autenticación de dos factores o la contraseña de una cuenta de juego lucrativa. Según el Centro de Quejas por Delitos en Internet del FBI, el compromiso comercial por correo electrónico (BEC), una forma popular de ingeniería social, causó más de 1.2 millones de dólares en pérdidas solo en 2018.
Si bien los bancos y otras entidades de alto valor pueden ser el objetivo principal, nadie es inmune. Una mujer perdió $ 30,000 en criptomoneda después de piratas informáticos lograr persuadió a su proveedor de servicios inalámbricos para activar una nueva tarjeta SIM, que luego se utilizó para violar su autenticación de dos factores para varias cuentas financieras. En otro incidente, Ubiquiti Networks perdió $ 39.1 millones después de que los piratas informáticos se hicieron pasar por un miembro del personal superior y convencieron al departamento de finanzas para completar una transferencia masiva de fondos.
Incluso algo tan inocuo como un programa de recompensas podría atraer el interés de un actor de amenazas maliciosas. Actualmente, las empresas abordan este problema capacitando a los empleados, utilizando un conjunto de protocolos que los empleados deben seguir en todo momento.
Desafortunadamente, el eslabón más débil en un la seguridad cibernética la cadena no es el cortafuegos, a menudo es el humano. Están en el negocio del servicio al cliente y están ansiosos por complacer. También son terribles al seguir un guión, y no son inmunes a un estafador inteligente que sabe todo lo que hay que decir. Si el pirata informático afirma que perdió su tarjeta de recompensas del hotel y desea que le envíen otra a su casa, luego le pregunta qué dirección está archivada, el agente del centro de llamadas podría obligarlo. Ahora un extraño ha obtenido la información privada de un cliente en particular.
Parado en sus pistas
El resultado habría sido muy diferente si el agente del cliente hubiera sido precedido por inteligencia artificial, específicamente IA de conversación. Una de las compañías de juegos más grandes del mundo experimentó esto de primera mano cuando la compañía decidió usar la IA conversacional como agente de chat front-end. Conocida por muchas franquicias exitosas de videojuegos, la compañía implementó Amelia para resolver problemas de juego sencillos para los clientes. La compañía pensó que Amelia podría reducir el tiempo que un cliente pasaba esperando una solución a su problema, y ella lo hizo. Sin embargo, después de un tiempo en el trabajo, Amelia también detectó phishers al notar que las personas que llamaban a veces pedían acceso a cuentas sin la información de identificación correcta. En el mundo de los juegos, donde los instrumentos financieros reales se integran en el juego y se adjunta información de la cuenta financiera, hay mucho en juego. Los agentes humanos de servicio al cliente estaban siendo engañados para entregar las credenciales de la cuenta. Amelia, no es una savia para una historia de sollozo, no lo era.
Programada para tomar decisiones teniendo en cuenta la política de la empresa, Amelia no se deja engañar por las técnicas de ingeniería social. Ella solo quiere demostrar que usted es quien dice ser, y lo hace apegándose al guión e introduciendo nuevas formas de autenticación cuando el comportamiento parece riesgoso.
El lanzamiento inicial fue un éxito, al menos parcialmente. Amelia pudo resolver las quejas de los clientes en menos tiempo que un agente humano, y además redujo el uso fraudulento de la cuenta, pero la satisfacción del cliente disminuyó. ¿Cómo pueden molestar los consumidores una IA que podría evitar el robo de la información de su cuenta?
Cuando vimos las transcripciones de lo que sucedió entre Amelia y los clientes durante los chats normales y escalados, las razones quedaron claras. Se apegó al proceso y no se dejó engañar por los piratas informáticos, quienes a su vez le dieron una baja calificación de satisfacción del cliente, mientras que el centro de llamadas de la compañía de juegos le dio a Amelia excelentes críticas.
No hay tiempo como el tiempo real
Incluso cuando llevamos la IA conversacional fuera de la configuración del servicio al cliente, ofrece a los profesionales de evaluación de amenazas una ventaja competitiva. En lugar de escanear datos o monitorear amenazas periódicamente y sin conexión, una IA conversacional avanzada puede analizar datos y acciones en tiempo real, además de comprender el contexto de las interacciones. Si un usuario quiere su equilibrio, una IA de conversación avanzada comprenderá el significado correcto, después de autenticar su identidad en función de la información que proporciona. Esto permite que la tecnología tenga una conversación real e individual con un humano que se siente natural y realista en el front-end, ya que los datos se procesan en línea en el back-end.
La IA ha permitido evaluar una conversación mientras está sucediendo. Tiene la capacidad de procesar cada enunciado para la evaluación de riesgos, lo que lo convierte en una herramienta muy poderosa. Si el presunto cliente se comporta tan lejos de la norma que constituye un riesgo, la IA conversacional lo reconocerá y tomará las medidas apropiadas. Esto podría ser tan simple como agregar pasos adicionales para la validación de identidad.
Sin IA, solo sería posible examinar una discusión en busca de signos de fraude una vez que haya concluido. Para entonces, un actor malicioso podría haber tomado el dinero y correr. Pero si AI estuviera teniendo esa conversación en lugar de una persona real, habría visto todo lo que había ocurrido, analizado cada palabra y tomado decisiones en tiempo real sobre amenazas, riesgos y seguridad.
Tomando la iniciativa
La ingeniería social es tanto una fuente de piratería como los ataques de software basados en algoritmos de fuerza bruta. Ya sea que se dirijan a hoteles, editores de juegos o cualquier otra institución, los piratas informáticos están buscando la información que los llevará al interior. Pero no necesitan ejecutar un ataque altamente sofisticado para obtener lo que quieren; todo lo que necesitan es una buena historia, un poco de persistencia y un agente de call center que esté dispuesto a romper el protocolo.
Al permitir que la IA conversacional tome la delantera como agente de chat front-end, las empresas pueden mitigar el daño potencial causado por la ingeniería social. Esto puede y debe implementarse con la menor cantidad de interrupciones posibles para el cliente. De hecho, sus clientes ni siquiera deberían pensar en quién es o no la persona al otro lado del chat. Simplemente deberían poder ingresar su consulta, obtener lo que desean y seguir adelante. Esa conveniencia, después de todo, es cómo definimos el futuro.
