Ekoparty Miami, día 2: más hackeos con IA, fraude millonario en Brasil y la influencer cyber que conquista Instagram

La segunda jornada de Ekoparty Miami, la primera edición internacional de la conferencia hacker argentina, estuvo atravesada por una pregunta central en el mundo de la ciberseguridad: qué pasa cuando los ataques dejan de depender tanto de un humano y empiezan a incorporar sistemas capaces de tomar decisiones por sí mismos. En criollo, máquinas que pueden tomar decisiones para hackear sistemas.

Al igual que en la primera jornada, el auditorio del Hotel Loews, en South Beach Miami, empezó a llenarse recién media hora después de la apertura oficial, pautada para las 9. En Estados Unidos, donde las grandes conferencias de ciberseguridad suelen ser puntuales al extremo, el arranque tuvo un sello más latino.

Esa informalidad, sin embargo, jugó a favor: antes de cada charla, los conferencistas se mezclaban con el público y conversaban con los asistentes, una cercanía difícil de encontrar en eventos de escala mucho mayor, como Black Hat o RSA.

Esta vez, la apertura estuvo a cargo de Aaron Portnoy, referente de la industria y creador de una de las competencias de hacking más conocidas del mundo, Pwn2Own. Más tarde, destacaron dos charlas: una sobre un fraude millonario en Brasil y otra sobre cómo sumar nuevas voces en ciberseguridad, a cargo de Caitlin Sarian, conocida influencer (“Cybersecurity Girl”) del ambiente.

Portnoy habló con Clarín sobre cómo cambia el escenario defensivo frente a ataques acelerados por IA y por qué las empresas y los gobiernos necesitan revisar herramientas, regulaciones, talento y diseño de sus entornos de seguridad.

Uno de los temas más discutidos en el mundo tecnológico actual ya no es la inteligencia artificial como concepto, sino los ya conocidos “agentes”: bots que pueden automatizar tareas. Una cosa es usar IA como asistencia para hackear sistemas y, otra, que una IA pueda comprometer a un tercero de manera autónoma.

“Durante años, los ataques automatizados chocaron con la misma limitación: el software podía entrar, pero un humano tenía que estar del otro lado decidiendo qué hacer después. El humano era, al mismo tiempo, el cuello de botella y la señal que los defensores observaban, porque cada instrucción tenía que cruzar el borde de la red. La IA elimina esa limitación, lo que permite compromisos más rápidos, más amplios y más profundos a escala. Esto va a hacer que las brechas ocurran con más frecuencia y a un ritmo que la industria hoy no puede asimilar”, explicó Portnoy.

Esto no implica una suerte de magia alrededor de un ataque, sino más bien tener menos dependencia de un operador humano para decidir cada paso de un ataque. Para graficarlo, Portnoy citó al filósofo y teórico político italiano Antonio Gramsci: “Lo viejo no terminó de morir, lo nuevo no pudo nacer del todo”.

En ciberseguridad, muchas herramientas tradicionales funcionan con reglas, amenazas conocidas y manuales de respuesta predefinidos. Ese modelo sirve para detectar comportamientos ya vistos o incidentes relativamente previsibles, pero Portnoy advierte que los ataques con IA obligan a pensar otro diseño. Y esto obliga a empresas y gobiernos a pensar de otra forma.

“El error más común en este momento es asumir que los ataques habilitados por IA pueden manejarse con las reglas de ayer”, explicó a este medio. Para Portnoy, muchas empresas están incorporando inteligencia artificial sobre productos pensados para amenazas anteriores, uno de los motivos por los cuales son hackeadas.

“Las empresas y los gobiernos deberían dar un paso atrás y considerar herramientas capaces de leer comportamientos específicos de IA a gran velocidad. También necesitan equipos con conocimiento tanto ofensivo como de inteligencia artificial y, sobre todo, entornos defensivos diseñados para este nuevo tipo de amenaza”, planteó.

Por fuera del término de moda, el investigador brasileño Jefferson Macedo eligió correr el foco hacia un problema mucho más básico: routers modificados por hackers e ingeniería social como técnica para entrar a sistemas. “Con mi charla no van a poder cantar bingo por decir inteligencia artificial”, bromeó.

El analista reconstruyó un caso real contra empresas financieras en Brasil. Según contó a Clarín, su equipo lleva “más o menos tres o cuatro años” siguiendo al mismo actor de amenazas.

“La idea es compartir un poco acerca de un caso real que estamos trabajando en Brasil. Los estamos acompañando desde cuando empezaron a atacar una empresa específica y después ampliaron el ataque a otras empresas del sector financiero brasileño”, explicó. El último caso, dijo, involucra unos 15 millones de dólares.

La empresa afectada se mantiene bajo reserva. “Necesitamos mantenerla oculta para mantener el trabajo, así como otros datos. Pero, dentro de lo posible, estamos compartiendo información con algunas autoridades, es parte de todo lo que estamos haciendo para intentar capturarlos”, señaló.

Macedo aclaró que el ataque no partía del router hogareño de un usuario común, sino de dispositivos colocados dentro de sucursales de empresas que prestan servicios financieros. Pero lo más interesante es que, según contó, el ingreso combinaba engaño presencial y manipulación técnica. “Empezaron trabajando con routers hogareños y en los últimos años mutaron a trabajar con ingeniería social para adentrar a las redes de las empresas”, resumió.

Según Macedo, la charla buscó marcar un contrapunto con el clima dominante de la industria: más allá del avance de la inteligencia artificial, muchas intrusiones siguen funcionando porque las organizaciones todavía fallan en controles básicos. “Estamos hablando de IA y de un montón de cosas avanzadas, pero las personas no están adoptando lo simple: un segundo factor de autenticación, una segunda capa de autenticación o tener un antivirus muy bien configurado”, dijo.

“Debemos tener como premisa que los atacantes están utilizando la IA, pero una vez más, necesitamos cuidar de lo básico”, cerró.

En otra de las charlas del día, Caitlin Sarian, conocida en redes como “Cybersecurity Girl”, llevó la discusión hacia un problema menos técnico pero central para la industria: cómo comunicar riesgos de seguridad a usuarios que no hablan el lenguaje de los especialistas.

Sarian tiene un perfil poco habitual en la industria: trabajó en el área de ciberseguridad y concientización de TikTok y hoy combina el trabajo de educadora, speaker e influencer de ciberseguridad. Construyó una audiencia masiva con consejos simples de seguridad online: acumula millones de seguidores entre plataformas, con una fuerte presencia en Instagram, TikTok y LinkedIn.

Su punto de partida fue que muchas campañas de concientización fallan antes de empezar porque usan palabras que expulsan al público. Según Sarian, hablar de “ciberseguridad”, “smishing”, “quishing” o “phishing” puede servir entre expertos, pero pierde efectividad cuando el destinatario es un usuario común. “Te perdieron en la palabra ciber”, dijo durante la charla, al explicar por qué prefiere hablar directamente de “estafas”.

La idea atravesó toda su presentación: para que un consejo funcione, primero tiene que ser entendible y cercano. Sarian comparó ese problema con lo que llamó un “olvido profesional”. Quienes trabajan en seguridad ya aprendieron a “caminar” dentro del tema, pero muchas veces olvidan cómo era cuando recién empezaban a “gatear”. Ese punto, sostuvo, explica por qué tantos mensajes de prevención terminan pensados desde la lógica del experto y no desde la necesidad real del usuario.

También marcó una diferencia entre informar y asustar. Para Sarian, hablar de un riesgo sin ofrecer una acción concreta solo suma ruido. “No necesitamos asustar a la gente solo por asustar”, planteó. Su regla es evitar el tono de emergencia si el usuario no puede hacer nada con esa información. En cambio, propuso construir mensajes que permitan actuar: cambiar contraseñas, activar verificaciones o reconocer una estafa antes de responder.

Sarian fue reconocida como “mujer y educadora cyber” en 2024, además de haber hablado en conferencias del nicho como la edición de medio oriente de Black Hat en Arabia Saudita.