El uso de herramientas de IA generativa en el hacking ético ha aumentado significativamente, según un reciente informe elaborado por HackerOne (requiere registro). Para la elaboración del informe, la organización encuestó a hackers éticos que participan en programas de recompensas por fallos y descubrió que el 61% utiliza activamente tecnologías de IA generativa para mejorar sus habilidades de identificación de vulnerabilidades. Se trata de un aumento significativo y apunta a un papel más expansivo de la IA en la ciberseguridad.
HackerOne ha constatado que la utilidad de la IA generativa va más allá del mero tecnicismo de encontrar vulnerabilidades. Alrededor del 66% de los hackers éticos se proponen utilizar estas herramientas de IA para mejorar la calidad de sus informes. Más de la mitad (53%) utiliza la IA generativa para ayudar en las tareas de programación. Además, un tercio de los encuestados citó esta tecnología como un medio para superar las diferencias lingüísticas, lo que permitiría a un mayor número de expertos de todo el mundo participar en iniciativas globales de detección de fallos.
Sin embargo, la incorporación de la IA generativa a los flujos de trabajo del hacking ético no está exenta de preocupaciones. HackerOne descubrió que al 28% de los participantes les preocupaba el posible uso delictivo de estas tecnologías de IA. Además, al 18% le preocupaba la probabilidad de que se generaran código inseguro. A casi la mitad le preocupaba que la confianza en la IA generativa pudiera en realidad aumentar las vulnerabilidades a largo plazo.
Además, el informe descubrió que el 61% de los hackers éticos tienen la intención de concentrarse en las vulnerabilidades citadas en la lista de las 10 principales de OWASP específicamente para los modelos de lenguaje amplio (LLM). La investigación de HackerOne destaca vulnerabilidades clave como la inyección puntual, que permite a los atacantes manipular el comportamiento de los LLM, y las vulnerabilidades de la cadena de suministro.
El Open Web Application Security Project (OWASP) es una organización sin fines de lucro creada en 2001 con la misión de mejorar la seguridad de las aplicaciones de software. Conocida por su lista OWASP Top 10, la organización proporciona un conjunto priorizado de los riesgos más críticos para la seguridad de las aplicaciones web, sirviendo como un recurso vital para desarrolladores, administradores de TI y profesionales de la seguridad.
Paralelamente, HackerOne ha anunciado avances significativos en su sistema de recompensas. Desde su lanzamiento en 2012, la plataforma ha repartido más de 300 millones de dólares en recompensas, con un crecimiento constante año tras año. El pago medio también ha aumentado a 500 dólares, frente a los 400 dólares de 2022, lo que consolida el valor y la importancia crecientes del hackeo ético.
Ilustración: Canva