Quizá, como en otras tantas ocasiones y aspectos de la vida, herramientas como la IA pueden tener un lado bueno y uno más oscuro según el uso que se le quiera dar; queda claro que “todo gran poder conlleva una gran responsabilidad”, como le dijo el tío Ben a Spiderman, así que dependerá de en las manos que caiga esta tecnología, el uso que se le pueda dar.
En todo caso, parece también claro que a medida que la Inteligencia Artifical se expanda y comience a utilizarse en muchos ámbitos, surjan nuevos casos que tengan que ver -precisamente- con su abuso o uso indebido. Para comprobarlo, el especialista C.A. Bazan ha mostrado ocho usos incorrectos de la IA en las agencias que alquilan vehículos y nos muestra las principales preocupaciones de seguridad que pueden surgir.
La preocupación que menciona no pretende ser alarmista, sino simplemente pretende que se vea una realidad que ya ha vivido algunos episodios en las que esta Inteligencia ‘no humana’ se ha visto involucrada.
Nos pone como ejemplo el caso de una banda de piratas informáticos que recurrió a una IA para suplantar la voz de un director ejecutivo y solicitar una transferencia de dinero fraudulenta de una empresa de energía con sede en el Reino Unido.
Y aunque los delincuentes fueron descubiertos y detenidos, se muestra que la ciberseguridad y la toma de medidas adicionales es una necesidad imperiosa y que las empresas no pueden retrasar más.
¿Y qué pasas con las empresas de alquiler?
Parece lógico que, a medida que la industria de alquiler de vehículos adopte la IA -al igual que ocurrió en su día con la informatización o la la conectividad a Internet-, crecerán los piratas informáticos potenciales para usar la tecnología de manera maliciosa, por lo que también se hará necesario la existencia de mayores medidas de ciberseguridad así como una regulación adecuada para prevenir tales ataques -al igual que ya existe una normativa para mejorar la ciberseguridad de los vehículos, como es la UNECE/R155 de la que te llevamos tiempo hablando en HackerCar-.
Algunos ataques de ciberseguridad a los que van a tener que enfrentarse este tipo de empresas serían los siguientes:
Ataques de relleno de credenciales
Un tipo común de ataque contra los llamados ‘programas de fidellización’ -una forma de ofrecer ventajas a los clientes recurrentes- consiste en el relleno de credenciales, donde los atacantes usan herramientas automatizadas para probar diferentes combinaciones de nombres de usuario y contraseñas hasta que encuentran una coincidencia -es decir, los conocidos también como ‘ataques de fuerza bruta’-.
Con la ayuda de la IA, estos ataques pueden ser más sofisticados y dirigidos, utilizando datos de infracciones anteriores para generar conjeturas más precisas para nombres de usuario y contraseñas.
Fraude del programa de fidelización
Asimismo, los atacantes pueden utilizar la IA para perpetrar el fraude del programa de fidelización: por ejemplo, mediante la generación de cuentas falsas o el uso de puntos de recompensa robados para realizar compras fraudulentas. Con la ayuda de algoritmos de aprendizaje automático, estos ataques pueden ser más difíciles de detectar y prevenir, ya que a primera vista pueden parecer transacciones realizadas por un usuario de forma legítima.
Explotación de códigos de tarifas
En este caso, los delincuentes podrían usar IA para generar códigos de tarifas falsos o para identificar códigos de tarifas válidos que ofrezcan descuentos u otros beneficios, que luego podrían usar para realizar reservas o reservas fraudulentas en condiciones muy ventajosas.
Ataques de ingeniería social
Otra táctica común es la ingeniería social, donde los atacantes utilizan el engaño para conseguir que los usuarios revelen sus credenciales de inicio de sesión -es algo tremendamente habitual en sectores como el bancario, el energético…-.
Con la ayuda de la IA, estos ataques pueden ser más convincentes y personalizados, utilizando datos de perfiles de redes sociales u otras fuentes en línea para crear correos electrónicos de phishing -suplantación de identidad- más convincentes o páginas de inicio de sesión falsas -para que una persona entre en ellas pensado que son auténticas y dejen sus datos confiadamente-.
Reservas de vehículos fraudulentas
los atacantes podrían usar IA para generar reservas falsas para vehículos de alquiler, ya sea para usar los vehículos ellos mismos o para vendérselos a otros. Esto podría implicar la creación de licencias de conducir falsas u otros documentos de identificación, así como el uso de información de tarjetas de crédito robadas para pagar los alquileres.
Fraude de alquiler de flotas
La IA se podría emplear para crear empresas de alquiler falsas que afirmen tener una gran flota de vehículos disponibles para alquilar, cuando en realidad no la tienen. Estas empresas falsas podrían realizar reservas fraudulentas o cobrar depósitos o tarifas de alquiler de clientes desprevenidos… que, como es lógico, nunca recuperarían su dinero. Y en el ‘mejor’ de los casos, podrían recopilar todo tipo de información de los usuarios.
Fraude de alquiler de vehículos entre particulares
Con la creciente popularidad de las plataformas de alquiler de vehículos entre particulares como Turo, Amovens, Virtuo, Socialcar o Getaround, los atacantes podrían usar IA para crear perfiles o listados falsos para engañar a los usuarios para que alquilen vehículos inexistentes o para robar información personal o detalles de pago. Incluso, en un caso extremo, también podrían usarlo los ciberdelincuentes para robar vehículos y ‘hacerlos desaparecer’, llevándoselos a otros países.
Fraude de descuentos corporativos
Si una empresa de alquiler de automóviles ofrece descuentos a clientes corporativos, los atacantes podrían usar IA para generar nombres de empresas falsos o identificaciones de empleados para reclamar esos descuentos de manera fraudulenta.
Con este panorama, ¿qué se puede hacer?
El experto considera que se hace necesaria la existencia de leyes y regulaciones federales para abordar la Inteligencia Artificial y la ciberseguridad para prevenir este tipo de ataques. Centrándose en el país donde él vive, Estados Unidos, considera que “no se ha puesto en marcha una ley federal general para abordar la intersección de la IA y la ciberseguridad”. Por el contrario, sí cree que se están implementando varias medidas regulatorias de ámbito federal y estatal para manejar estos asuntos.
Entre las primeras, considera que varias organizaciones están trabajando en este tema, como pueden ser:
- La Agencia de Seguridad de Infraestructura y Ciberseguridad -CISA- protege la infraestructura crítica del país de las amenazas cibernéticas.
- El Instituto Nacional de Estándares y Tecnología -NIST-, que ha desarrollado un marco para mejorar la ciberseguridad en todos los sectores, que incluye recomendaciones para protegerse contra las amenazas relacionadas con la Inteligencia Artificial.
- La Comisión Federal de Comercio -FTC-, que ha emitido pautas para las empresas que desarrollan tecnologías de Inteligencia Artificial y aprendizaje automático, poniendo énfasis en la necesidad de transparencia y responsabilidad. Las pautas recomiendan que las empresas brinden información clara sobre cómo funcionan sus sistemas de inteligencia artificial y cómo usan los datos, además de brindarles a los consumidores la capacidad de acceder, corregir o eliminar su información personal.
Artículo publicado originalmente en Autorentalnews
