A inteligência artificial (IA) deverá aumentar significativamente as ameaças cibernéticas, especialmente os ataques de ransomware, nos próximos dois anos, de acordo com um relatório do Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido.
No seu relatório, o NCSC descreve como o efeito da IA sobre as ameaças cibernéticas pode ser equilibrado, aproveitando a IA para fortalecer a segurança cibernética através da detecção e de um design melhorado. No entanto, recomendou mais estudos para avaliar como os avanços da IA na segurança cibernética irão mitigar o impacto das ameaças.
Um ataque de ransomware é um ataque cibernético no qual software malicioso é implantado para criptografar os arquivos da vítima ou todo o sistema. Os invasores então exigem um resgate, normalmente em criptomoeda, para fornecer à vítima a chave de descriptografia ou ferramentas para restaurar o acesso aos seus dados.
Prevê-se que a influência da IA nas ameaças cibernéticas varie, favorecendo intervenientes estatais avançados com mais acesso a operações cibernéticas sofisticadas baseadas na IA. O relatório destaca a engenharia social como uma área crítica onde a IA irá melhorar significativamente as capacidades, tornando os ataques de phishing mais convincentes e mais difíceis de detectar.
O relatório do NCSC afirma que a IA melhorará principalmente as capacidades dos agentes de ameaças em engenharia social. A IA generativa já pode criar interações convincentes, como documentos que enganam indivíduos, livres de erros de tradução e gramaticais comuns em phishing, e espera-se que esta tendência cresça nos próximos dois anos à medida que os modelos evoluem e ganhem popularidade.
Apoiando esta declaração, James Babbage, diretor-geral de ameaças da Agência Nacional do Crime, disse:
“Os serviços de IA reduzem as barreiras à entrada, aumentando o número de criminosos cibernéticos, e aumentarão a sua capacidade, melhorando a escala, a velocidade e a eficácia dos métodos de ataque existentes. A fraude e o abuso sexual infantil também são particularmente suscetíveis de ser afetados.”
A avaliação do NCSC aponta desafios na resiliência cibernética devido a modelos de IA, como IA generativa e grandes modelos de linguagem. Esses modelos dificultam a verificação da legitimidade de e-mails e solicitações de redefinição de senha. A diminuição do tempo entre as atualizações de segurança e a exploração de ameaças torna um desafio para os gerentes de rede corrigirem vulnerabilidades rapidamente.
O aproveitamento da IA avançada em operações cibernéticas requer conhecimentos especializados, recursos e acesso a dados de qualidade, pelo que os intervenientes estatais altamente capazes estão melhor posicionados para aproveitar o potencial da IA. Outros intervenientes estatais e empresas comerciais registarão ganhos moderados de capacidade nos próximos 18 meses, de acordo com o relatório.
Apesar do reconhecimento do NCSC da importância das competências, ferramentas, tempo e dinheiro para a utilização de IA avançada em operações cibernéticas, o relatório afirma que estes fatores tornar-se-ão menos cruciais à medida que os modelos de IA se tornarem mais difundidos. Prevê-se que a acessibilidade das ferramentas cibernéticas habilitadas para IA aumente à medida que grupos capazes monetizarão as ferramentas cibernéticas habilitadas para IA, disponibilizando capacidades aprimoradas para qualquer pessoa disposta a pagar.
Para identificar quando os intervenientes na ameaça conseguiram aproveitar a IA de forma eficaz, o relatório observa que haverá aumentos no volume, na complexidade e no impacto das operações cibernéticas. Lindy Cameron, CEO do NCSC, falando sobre a necessidade de o governo aproveitar primeiro o potencial da IA enquanto gere os seus riscos, disse:
“Devemos garantir que aproveitamos a tecnologia de IA pelo seu vasto potencial e gerimos os seus riscos – incluindo as suas implicações na ameaça cibernética.”
Para enfrentar esta ameaça acrescida, o governo do Reino Unido investiu 2,6 mil milhões de libras esterlinas em 2022 no âmbito da sua Estratégia de Segurança Cibernética para melhorar a resiliência do Reino Unido.
