IA bajo ataque: nuevas tácticas para vulnerar la seguridad digital

La Inteligencia Artificial cambió las reglas del juego en todos los ámbitos, y la ciberseguridad no escapa a esta afirmación.

Al punto que puede ser un elemento clave en la prevención y detección de ciberataques y también una herramienta para potenciar acciones maliciosas.

Pero, la IA también puede ser engañada y servir como vector para vulnerar a las víctimas. ESET, compañía líder en detección proactiva de amenazas, analiza la técnica PromptFix, conocida como prompt injection, cuáles pueden ser las consecuencias para las víctimas, y de qué manera protegerse ante esta amenaza.

PromptFix es una variante específica del prompt injection, diseñada para engañar a asistentes integrados en navegadores. Mediante instrucciones ocultas, logra que la IA interactúe con sitios web maliciosos o de phishing.

El término surge como evolución de la técnica ClickFix, que engaña a los usuarios para que hagan clic en verificaciones falsas y así ejecutar acciones maliciosas.

“Los actores maliciosos insertan instrucciones ocultas en contenido aparentemente legítimo para que la IA realice ciertas acciones sin que el usuario lo sepa ni tenga que intervenir. Por ejemplo, hacer clic en botones invisibles que simulan verificaciones, descargar archivos maliciosos o interactuar con enlaces fraudulentos.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Para que un ataque PromptFix sea efectivo, los cibercriminales ocultan instrucciones maliciosas en sitios web comprometidos o en contenido que controlan, incluso en redes sociales o plataformas públicas (comentarios en Reddit, publicaciones en Facebook).

Algunas técnicas pueden ser el ocultar instrucciones en texto invisible o en comentarios HTML, incrustar texto oculto dentro de imágenes, u ocultar información en archivos digitales sin alterar su apariencia.

¿Cuándo funciona?

El ataque funciona cuando un usuario navega por un sitio comprometido y utiliza el asistente de IA del navegador para resumir contenido o extraer puntos clave, el modelo procesa todo el texto sin distinguir entre datos e instrucciones.

De esta manera interpreta comandos ocultos como si fueran solicitudes legítimas del usuario. Lo que puede llevar al agente a realizar acciones no deseadas, como interactuar con enlaces fraudulentos o iniciar descargas.

Algunas consecuencias de un ataque PromptFix pueden inducir a la IA a descargar archivos maliciosos infectados con malware, hacer clic en botones ocultos para evadir pasos de validación, o seguir enlaces de phishing y exponer credenciales.

Dado que una característica distintiva de un ataque PromptFix es que puede realizar acciones sin la intervención y/o conocimiento de la víctima, desde ESET destacan algunos buenos a hábitos implementar para estar protegidos y prevenidos:

No autorizar acciones automáticas por defecto: si la Inteligencia Artificial quiere hacer clic, enviar archivos o completar formularios, primero debe pedirlo y obtener la confirmación del usuario.

• Limitar al agente: no otorgar permiso a la IA para que navegue libre por internet, para que acceda a las contraseñas guardadas ni tampoco para usar el autocompletado.
• Revisar imágenes y archivos antes de procesarlos: dado que los ciberatacantes pueden esconder instrucciones dentro de imágenes o archivos, lo ideal es que se pase por un filtro que busque texto oculto o señales extrañas.
• Usar listas de sitios confiables: permitir que el agente solamente interactúe con sitios conocidos y confiables. Ante un link sospechoso, debe bloquearlo y pedir autorización.

Comments