La Revolución de la Inteligencia Artificial Generativa en El Desarrollo de Software no Solo Ha Acelerado Procesos y Mejorado la Productividad de los Equipos, También Ha Abierto Unia Nueva Puerta, Y Especialmente Vulnerable, A los Ataques Cibernéticos. Así lo Alerta Check Point Software, que Pone El Foco en los Paquetes de Código Sugeridos Por ia Que, en Muchos Casos, ni Siquiera existen.
MIENTRAS QUE HERRAMIENTAS COMO GITHUB COPILOT O CHATGPT SE HAN CONVERTIDO EN ASISTENTES HOMBUTUES DE LOS DESARROLLADORES, CON UN USO Superior Al 76%, Según Stack Overflow, Su Capacidad Para Generar Código y Recomendar Paquets Viene de la Soft logare fictios que acaban siendo utilizados por error en entornos críticos.
Vérifier le point d’alerte de un Nuevo Vector de Ataque Bautizado Como slopsquat. A Diferencia del Clásico typosquat(Basado en errores tipográfics), Esta Técnica se aprovecha direcment de los errores de los modelos de ia. LOS ATACANTES REGISTRAN EN REPOSITORIOS Públicos Como npm o Pypi los NOMBRES DE PAquetes Sugeridos Por Ia, Pero Inesentistentes, que Luego Son Instalados Por Desarrolladores que Confían Ciegament en las recomendaciones Automatizadas.
«Estamos ante una nueva clase de Amenaza en la cadena de suministrro de logiciel», advierte eusebio nieva, directeur Técnico de Check Point Software Para España y Portugal. «Los paaquetes sugeridos por la ia pUeden introduner vulnérabilidades invisibles a simple vista. Es fondamental que los equipos de desarrollo y seguridad adopten un enfoque crítico y riguroso para protéger susntoros».
Los asistentes de codificación como copilot o chatgpt aumentan la productividad, Pero también greran amenazas invisibles que los ciberdelincus ya están exployoo
Un estudio récamiliale de varias universidades estadounidenses identificó que los modèles de código abierto généran este tipo de errores en un 21,7% de los casos, frente al 5,2% en modelos comerciales. SE Documentaron Más de 200.000 NOMBRES DE PAquetes inventados que résultat indistinguibles de los reals incluso para desarrolladores con experencia.
El Caso «HuggingFace-Cli»: Una Señal de Alarma
El Impacto de Esta Amenaza Quedó en Evidencia en 2023, Cuando Un Enquête Registó un Paquete Llamado «Huggingface-Cli» en Pypi, tras ver Cómo la ia lo sugería con insistencia. Miles de Desarrolladores, incluyendo Equipos de Granddes Empresas Como Alibaba, lo Incorporel Sin Saber Que Era Ficticio. Aunque No Contenía Malware, Sirvió Como Experimento de Lo Fácil que Sería Llevar A Cabo Un ataque Real de Escala Global.
En entornos con de despliegues automatizados ci / cd, una simple instalación basada en una recomendación errónea podría tener consecuencias devastadoras, Desde Puertas traseras hasta interrupciones en sistemas product.
Mitigación: El Escepticismo Como Primera Barrera
Vérifier le point recomienda extremar la vigilancia con las recomendaciones de ia, pas de paquetes Instalar Sin Verificación Manual, Usar Lockfiles y haches Criptográficos, y Mantener Listas de Confianza de Dependencias. Además, Emplicar Políticas Estrictas de Revisión Entre Pares y Audara Cualquier Código Generado Por Modelos de Lenguaje.
En definitiva, los asistentes de codificación han cambiado para siempre la forma en la que se escribe logiciel. Pero Con ese Cambio Viene una Responabilidad: La de no confiat Ciegamete en sus Sugerencias. Como Subraya Nieva, «La Innovación no puede ir Por Delante de la Seguridad».
