Las agencias gubernamentales, las empresas de ciberseguridad y los investigadores de amenazas están invirtiendo recursos en estudiar cómo actores maliciosos pueden utilizar herramientas de inteligencia artificial de rápido desarrollo para piratear las organizaciones víctimas.

Pero a medida que la IA agente se integra cada vez más en la infraestructura empresarial, también existe una alta posibilidad de que una infracción pueda ser causada por un interno que guíe la herramienta, ya sea de forma maliciosa o debido a la falta de controles de seguridad.

En investigación compartido exclusivamente con CyberScoop, los investigadores de DTEX detallan cómo un flujo de trabajo común en Claude Cowork de Anthropic utilizado en entornos corporativos ofrece conveniencia para la implementación de agentes de IA pero otorga acceso casi total al sistema.

Claude Cowork incluye herramientas que permiten a los usuarios controlar remotamente a sus agentes. Una herramienta en particular, conocida como Dispatch, transmite comandos desde el teléfono de un usuario a su agente Claude de escritorio. También incluye un complemento para comunicarse con los agentes de Salesforce AI que acceden y transfieren datos.

Los investigadores de DTEX probaron dos escenarios. El primero le pidió a Claude que resumiera información de Salesforce y la pegara en un borrador de correo electrónico de Outlook. El segundo encargó al agente archivar los archivos seleccionados y transferirlos a través de la aplicación Cowork.

En ambos casos, los investigadores utilizaron indicaciones simples de un solo turno y dedicaron entre 10 y 30 minutos a prepararse para filtrar los datos.

Alex Desmond, director de inteligencia e innovación sobre amenazas internas en DTEX, dijo a CyberScoop que tanto las mejoras en los modelos de frontera como una integración más profunda de las herramientas de inteligencia artificial en las operaciones de la red de TI han reducido el tiempo que los defensores tienen para reaccionar ante una infracción.

«En los ciberataques, cuando se habla del tipo de tiempo de ejecución de los adversarios que entran y lanzan ransomware, ahora estamos viendo que la cadena de muerte cae a 30 y 10 minutos dependiendo de lo que estén haciendo», dijo Desmond. «Hace seis meses, eso fue un par de horas».

Pero esa velocidad, cuando se combina con el acceso directo a redes empresariales o servicios en la nube, también puede crear una pesadilla de amenazas internas para las organizaciones que deben monitorear tanto actores maliciosos como posibles errores de empleados legítimos que usan la tecnología.

En los últimos años, las empresas occidentales de TI y ciberseguridad se han visto inundadas de solicitantes de empleo que trabajan en secreto para el gobierno de Corea del Norte. Sus salarios se utilizan para evadir sanciones internacionales y financiar el programa nuclear de Pyongyang, pero también posicionan a las personas para acceder o robar datos o activos confidenciales de estas empresas.

«Tenemos a un actor-estado-nación entrando legítimamente en un entorno», dijo Desmond. «Ahora bien, si además de eso les das acceso a herramientas de inteligencia artificial… piensas: 'aquí están las claves de todo y aquí está esta increíble herramienta que hará que tu trabajo (robar nuestros datos) sea más fácil'».

Las pruebas realizadas por DTEX confirmaron que los agentes efectivamente tenían acceso a sistemas, aplicaciones y datos confidenciales, incluida la capacidad de descargar datos corporativos de SharePoint, documentación de producción en OneDrive, acceso al correo electrónico de Outlook, datos de Salesforce (y todos los datos a los que puede acceder) y cualquier otro archivo en el dispositivo terminal del usuario. Para cada una de estas aplicaciones, Claude Cowork tiene un complemento o API dedicado para compartir externamente si se le solicita.

Para ser claros, la investigación de DTEX no implica explotar un error de software o una vulnerabilidad de configuración, y no viene con un CVE. Es más bien un problema de visibilidad y gobernanza de TI. Las empresas se apresuran a integrar herramientas de inteligencia artificial en su flujo de trabajo y presionan a los empleados para que utilicen la tecnología, mientras no implementan el tipo de controles de seguridad, políticas de acceso y monitoreo necesarios para detectar problemas.

Por ejemplo, puede que no sea posible determinar cómo ocurrió realmente una violación o fuga de datos que involucra a un agente de IA si una organización no registra ni audita sus indicaciones, o si el incidente fue el resultado de que un agente se volviera loco o respondiera a instrucciones potencialmente maliciosas.

Si bien el monitoreo de la red y la nube puede identificar cuándo se accede a los datos o cuándo se descargan desde SharePoint, puede que esa no sea una señal lo suficientemente fuerte como para que los defensores se destaquen.

«Si el flujo de trabajo normal de un usuario es bajar archivos confidenciales para trabajar localmente todo el tiempo, no tienes monitoreo de punto final e introduces un agente de IA, que luego solo tiene acceso a todos esos datos» junto con la capacidad de exfiltrarlos», dijo Desmond.