La cybercriminalité évolue vers des menaces physiques bien réelles

Notes de seguretatDeixa un comentari

La cybercriminalité connaît une transformation inquiétante : les menaces numériques s’accompagnent désormais de plus en plus souvent d’intimidations et de violences physiques réelles. Pendant de nombreuses années, les cyberattaques se limitaient principalement au vol de données, au piratage de systèmes informatiques ou à l’extorsion financière par ransomware. Les attaquants agissaient dans l’anonymat et la pression exercée sur les victimes restait cantonnée au domaine numérique. Aujourd’hui, cette frontière est en train de disparaître.

Plusieurs rapports et enquêtes menés par des entreprises spécialisées dans la sécurité alertent que certains groupes criminels ont commencé à utiliser des menaces physiques directes pour augmenter l’efficacité de leurs attaques. L’objectif est de susciter une peur réelle chez les employés, les dirigeants et les négociateurs afin de forcer le paiement de rançons ou de faciliter l’accès aux systèmes visés. Cette évolution marque une nouvelle étape dans la cybercriminalité, où la pression psychologique et l’intimidation personnelle deviennent des éléments habituels de la stratégie criminelle.

L’un des cas les plus connus est celui de Tim Beasley, un membre de la société Semperis. Lors de négociations liées à une attaque par ransomware contre une organisation gouvernementale américaine, Beasley a reçu à son domicile un colis suspect accompagné d’une note menaçante laissant entendre de possibles agressions physiques s’il poursuivait les discussions. Ce type d’incident, autrefois exceptionnel, apparaît désormais de plus en plus fréquemment dans le paysage de la sécurité internationale.

Les données illustrent clairement cette tendance. Selon les chiffres du FBI, les incidents de cybercriminalité aux États-Unis ont augmenté de façon spectaculaire au cours de la dernière décennie, dépassant un million de cas par an. Parallèlement, les pertes économiques liées aux cyberattaques dépassent déjà les 20 milliards de dollars annuels. Mais l’élément le plus inquiétant reste l’augmentation des menaces physiques associées aux attaques informatiques.

Les études de Semperis indiquent qu’environ 40 % des attaques mondiales de ransomware en 2025 incluaient des menaces de violences physiques contre des employés ou des responsables des entreprises visées. Aux États-Unis, cette proportion atteignait environ 50 %. Les criminels profitent de données personnelles volées lors des attaques – adresses privées, numéros de téléphone, informations familiales ou données financières – pour intimider directement les victimes.

Un cas particulièrement sensible s’est produit dans un hôpital nord-américain affecté par une attaque par ransomware. Selon Zac Warren, les attaquants ont contacté directement des membres du personnel infirmier et soignant, en mentionnant leurs adresses personnelles et d’autres informations privées afin de leur donner le sentiment d’être surveillés. Ce type d’intimidation vise à provoquer un stress émotionnel intense et à pousser l’organisation à payer rapidement la rançon.

La situation est particulièrement grave car de nombreux cybercriminels n’exécutent pas eux-mêmes ces menaces, mais sous-traitent les violences à des tiers. Certains groupes criminels utilisent des forums, des réseaux sociaux ou des canaux clandestins pour embaucher des personnes prêtes à intimider, suivre ou agresser physiquement les victimes. Ce phénomène fait partie du concept connu sous le nom de « violence en tant que service », étudié par des organisations comme Europol.

À l’image du modèle criminel du ransomware-as-a-service, des réseaux proposent désormais des services d’intimidation physique à la demande. Les actions vont du vandalisme visant des domiciles ou des véhicules jusqu’aux agressions, enlèvements ou attaques plus graves. Les autorités américaines ont également mis en garde contre des réseaux criminels connus sous le nom de « The Com », liés à des activités violentes commanditées par des cybercriminels.

Le secteur des cryptomonnaies figure parmi les plus affectés par cette nouvelle réalité. Les investisseurs et entrepreneurs du secteur crypto affichent souvent publiquement leur patrimoine ou leur mode de vie sur les réseaux sociaux, devenant ainsi des cibles visibles pour les criminels. Ces dernières années, de nombreux cas d’enlèvements et d’agressions visant des personnes liées aux cryptomonnaies ont été recensés, en particulier en Europe.

En France, par exemple, la police a sauvé le père d’un millionnaire des cryptomonnaies qui avait été kidnappé contre rançon. Selon plusieurs informations, les ravisseurs avaient amputé un doigt pour mettre la pression sur la famille. Ce type d’affaires illustre à quel point la cybercriminalité et la criminalité physique commencent à se confondre.

Les experts estiment que cette évolution continuera de s’intensifier. Tant que les entreprises continueront à céder aux rançons sous la pression, les groupes criminels auront intérêt à accroître le niveau d’intimidation. La combinaison entre l’accès massif aux données personnelles, l’existence de réseaux criminels mondiaux et la facilité de recourir à des services illégaux crée un environnement particulièrement complexe du point de vue de la sécurité.

Cette situation oblige les organisations à repenser entièrement leurs protocoles de protection. Il ne suffit plus de sécuriser les réseaux et les serveurs : il faut également protéger les données personnelles des employés, limiter leur exposition publique et préparer des procédures face à d’éventuelles menaces physiques découlant d’incidents numériques. La cybersécurité ne relève plus uniquement de la technologie, mais devient aussi une question de sécurité humaine.

En définitive, la cybercriminalité évolue vers des modèles hybrides où le monde numérique et la violence physique convergent de plus en plus. Les attaques ne cherchent plus seulement à obtenir de l’argent ou des données, mais à instaurer une peur réelle afin d’accroître l’efficacité de l’extorsion. Cette nouvelle étape représente l’un des grands défis lié à la sécurité des prochaines années et contraint les entreprises et les institutions à s’adapter à une menace bien plus agressive et complexe.

_____

Aquest apunt en català / Esta entrada en español / This post in English

Cybercrime is evolving into real-world physical threats

Notes de seguretatDeixa un comentari

Cybercrime is undergoing a worrying transformation: digital threats are increasingly accompanied by intimidation and actual physical violence. For many years, cyberattacks were mainly limited to data theft, the hijacking of computer systems or financial extortion via ransomware. Attackers operated anonymously, and pressure on victims was exerted exclusively in the digital realm. Today, however, this boundary is breaking down.

Various reports and research from security firms warn that some criminal groups have started using direct physical threats to increase the effectiveness of their attacks. The aim is to instil real fear among employees, executives and negotiators to force the payment of ransoms or facilitate access to the systems under attack. This development marks a new phase in cybercrime, where psychological pressure and personal intimidation are becoming a regular part of criminal strategy.

One of the best-known cases is that of Tim Beasley, an employee of the company Semperis. During negotiations relating to a ransomware attack against a US government organisation, Beasley received a suspicious package at his home containing a threatening note hinting at possible physical harm if he continued to participate in the negotiations. Such incidents, which were previously rare, are beginning to occur more frequently within the international security landscape.

The data clearly illustrates this trend. According to FBI figures, cybercrime incidents in the United States have risen dramatically over the last decade, exceeding one million cases a year. At the same time, the financial losses resulting from cyberattacks now exceed 20 billion dollars annually. But the most worrying development is the rise in physical threats associated with cyberattacks.

Studies by Semperis indicate that approximately 40% of global ransomware attacks in 2025 included threats of physical harm against employees or managers of the victim companies. In the United States, this proportion reached almost 50%. Criminals exploit personal data stolen during attacks—home addresses, telephone numbers, family details or financial information—to intimidate victims directly.

A particularly sensitive case occurred at a US hospital that had been hit by a ransomware attack. As Zac Warren explained, the attackers called nurses and healthcare workers directly, mentioning their home addresses and other private information to make them feel under surveillance. This type of intimidation aims to generate a high level of emotional stress and pressure the organisation into paying the ransom quickly.

The situation is particularly serious because many of the attackers do not carry out these threats themselves, but instead subcontract them to third parties. Some criminal groups use forums, social media or clandestine channels to recruit individuals willing to intimidate, stalk or physically assault victims. This phenomenon falls under the concept known as “violence-as-a-service”, which is being investigated by organisations such as Europol.

Just as there are criminal models such as ransomware-as-a-service, networks are now also emerging that offer physical intimidation services on demand. Actions can range from vandalising homes or vehicles to assaults, kidnappings or more serious attacks. US authorities have also warned of criminal networks known as “The Com”, linked to violent activities commissioned by cybercriminals.

The world of cryptocurrencies is one of the sectors most affected by this new reality. Investors and entrepreneurs linked to the crypto sector often publicly display their wealth or lifestyle on social media, making them visible targets for criminals. In recent years, there have been numerous cases of kidnappings and attacks against people involved in cryptocurrencies, particularly in Europe.

In France, for example, the police rescued the father of a cryptocurrency millionaire who had been kidnapped for ransom. According to various reports, the kidnappers had amputated one of his fingers to put pressure on the family. Cases such as these highlight the extent to which cybercrime and traditional crime are beginning to merge.

Experts believe this trend will continue to grow. As long as companies continue to pay ransoms under pressure, criminal groups will have an incentive to step up their intimidation tactics. The combination of mass access to personal data, global criminal networks and the ease of hiring illegal services creates a particularly complex environment from a security perspective.

This forces organisations to completely rethink their protection protocols. It is no longer enough to defend networks and servers: organisations must also protect employees’ personal information, limit public exposure and prepare protocols for potential physical threats arising from digital incidents. Cybersecurity is no longer just a technological issue; it has also become a matter of human security.

In short, cybercrime is evolving towards hybrid models in which the digital world and physical violence are increasingly converging. Attacks no longer seek solely to obtain money or data, but aim to instil real fear in order to make extortion more effective. This new phase represents one of the major security challenges of the coming years and is forcing businesses and institutions to adapt to a far more aggressive and complex threat.

_____

Aquest apunt en català / Esta entrada en español / Post en français

La ciberdelincuencia evoluciona hacia amenazas físicas reales

Notes de seguretatDeixa un comentari

La ciberdelincuencia está experimentando una transformación preocupante: las amenazas digitales cada vez van más acompañadas de intimidación y violencia física real. Durante muchos años, los ciberataques se limitaban principalmente al robo de datos, el secuestro de sistemas informáticos o la extorsión económica a través de programas de secuestro. Los atacantes actuaban desde el anonimato y la presión sobre las víctimas se producía exclusivamente en el ámbito digital. Hoy, sin embargo, esta frontera se está rompiendo.

Varios informes e investigaciones de compañías de seguridad alertan de que algunos grupos criminales han empezado a utilizar amenazas físicas directas para aumentar la efectividad de sus ataques. El objetivo es generar miedo real entre empleados, directivos y negociadores para forzar el pago de rescates o facilitar el acceso a los sistemas atacados. Esta evolución marca una nueva etapa en la ciberdelincuencia, donde la presión psicológica y la intimidación personal pasan a formar parte habitual de la estrategia criminal.

Uno de los casos más conocidos es el de Tim Beasley, miembro de la compañía Semperis. Durante unas negociaciones relacionadas con un ataque con programa de secuestro contra una organización gubernamental de los Estados Unidos, Beasley recibió un paquete sospechoso en su casa con una nota amenazadora que insinuaba posibles agresiones físicas si seguía participando en la negociación. Este tipo de incidentes, que antes eran excepcionales, empiezan a aparecer con más frecuencia en el panorama de la seguridad internacional.

Los datos muestran claramente esta tendencia. Según cifras del FBI, los incidentes de ciberdelincuencia en los Estados Unidos han aumentado de forma espectacular durante la última década, superando el millón de casos anuales. Paralelamente, las pérdidas económicas derivadas de los ciberataques ya superan los 20.000 millones de dólares anuales. Pero lo más preocupante es el incremento de las amenazas físicas asociadas a los ataques informáticos.

Estudios de Semperis indican que aproximadamente un 40 % de los ataques globales con programas de secuestro del año 2025 incluían amenazas de daño físico contra trabajadores o responsables de las empresas víctimas. En los Estados Unidos, esta proporción llegaba casi al 50 %. Los criminales aprovechan los datos personales robados durante los ataques —direcciones particulares, teléfonos, información familiar o datos financieros— para intimidar directamente a las víctimas.

Un caso especialmente sensible se produjo en un hospital norteamericano afectado por un ataque con programas de secuestro. Según explicó Zac Warren, los atacantes llamaban directamente a enfermeros y trabajadores sanitarios, y les mencionaban sus direcciones particulares y otra información privada para que se sintieran vigilados. Este tipo de intimidación busca generar un alto nivel de estrés emocional y presionar a la organización para que pague el rescate rápidamente.

La situación es especialmente grave porque muchos de los atacantes no ejecutan personalmente estas amenazas, sino que subcontratan a terceros. Algunos grupos criminales utilizan foros, redes sociales o canales clandestinos para contratar a personas dispuestas a intimidar, seguir o agredir físicamente a las víctimas. Este fenómeno se enmarca en el concepto conocido como “violencia como servicio”, investigado por organismos como Europol.

Igual que existen modelos criminales como el servicio de programa de secuestro, ahora también aparecen redes que ofrecen servicios de intimidación física bajo demanda. Las acciones pueden ir desde vandalizar viviendas o vehículos hasta cometer agresiones, secuestros o ataques más graves. Las autoridades norteamericanas también han alertado sobre redes criminales conocidas como “The Com”, vinculadas a actividades violentas encargadas por ciberdelincuentes.

El mundo de las criptomonedas es uno de los sectores más afectados por esta nueva realidad. Los inversores y empresarios vinculados al sector cripto a menudo exponen públicamente su patrimonio o estilo de vida a través de redes sociales, convirtiéndose en objetivos visibles para los criminales. En los últimos años se han registrado numerosos casos de secuestro y agresión contra personas relacionadas con criptomonedas, especialmente en Europa.

En Francia, por ejemplo, la policía rescató al padre de un millonario de criptomonedas que había sido secuestrado para exigir un rescate. Según varias informaciones, los secuestradores le habían amputado un dedo para presionar a la familia. Este tipo de casos reflejan hasta qué punto la ciberdelincuencia y la criminalidad física empiezan a fusionarse.

Los expertos consideran que esta evolución seguirá aumentando. Mientras las empresas sigan pagando rescates bajo presión, los grupos criminales tendrán incentivos para incrementar el nivel de intimidación. La combinación entre el acceso masivo a datos personales, las redes criminales globales y la fácil contratación de servicios ilegales crea un entorno especialmente complejo desde el punto de vista de la seguridad.

Eso obliga a las organizaciones a replantear completamente sus protocolos de protección. Ya no es suficiente con defender redes y servidores: es necesario proteger también la información personal de los empleados, limitar la exposición pública y preparar protocolos ante posibles amenazas físicas derivadas de incidentes digitales. La ciberseguridad deja de ser solo una cuestión tecnológica y pasa a convertirse también en un problema de seguridad humana.

En definitiva, la ciberdelincuencia está evolucionando hacia modelos híbridos donde el mundo digital y la violencia física convergen cada vez más. Los ataques ya no buscan únicamente dinero o datos, sino generar miedo real para aumentar la eficacia de la extorsión. Esta nueva etapa representa uno de los grandes retos de seguridad de los próximos años y obliga a empresas e instituciones a adaptarse a una amenaza mucho más agresiva y compleja.

_____

Aquest apunt en català / This post in English / Post en français

La ciberdelinqüència evoluciona cap a amenaces físiques reals

Notes de seguretatDeixa un comentari

La ciberdelinqüència està experimentant una transformació preocupant: les amenaces digitals cada vegada van més acompanyades d’intimidació i violència física real. Durant molts anys, els ciberatacs es limitaven principalment al robatori de dades, el segrest de sistemes informàtics o l’extorsió econòmica a través de programari de segrest. Els atacants actuaven des de l’anonimat i la pressió sobre les víctimes es produïa exclusivament en l’àmbit digital. Avui, però, aquesta frontera s’està trencant.

Diversos informes i investigacions de companyies de seguretat alerten que alguns grups criminals han començat a utilitzar amenaces físiques directes per augmentar l’efectivitat dels seus atacs. L’objectiu és generar por real entre empleats, directius i negociadors per forçar el pagament de rescats o facilitar l’accés als sistemes atacats. Aquesta evolució marca una nova etapa en la ciberdelinqüència, on la pressió psicològica i la intimidació personal passen a formar part habitual de l’estratègia criminal.

Un dels casos més coneguts és el de Tim Beasley, membre de la companyia Semperis. Durant unes negociacions relacionades amb un atac amb programari de segrest contra una organització governamental dels Estats Units, Beasley va rebre un paquet sospitós a casa seva amb una nota amenaçadora que insinuava possibles agressions físiques si continuava participant en la negociació. Aquest tipus d’incidents, que abans eren excepcionals, comencen a aparèixer amb més freqüència en el panorama de la seguretat internacional.

Les dades mostren clarament aquesta tendència. Segons xifres de l’FBI, els incidents de ciberdelinqüència als Estats Units han augmentat de forma espectacular durant l’última dècada, superant el milió de casos anuals. Paral·lelament, les pèrdues econòmiques derivades dels ciberatacs ja superen els 20.000 milions de dòlars anuals. Però el més preocupant és l’increment de les amenaces físiques associades als atacs informàtics.

Estudis de Semperis indiquen que aproximadament un 40 % dels atacs globals amb programari de segrest del 2025 incloïen amenaces de dany físic contra treballadors o responsables de les empreses víctimes. Als Estats Units, aquesta proporció arribava gairebé al 50 %. Els criminals aprofiten les dades personals robades durant els atacs —adreces particulars, telèfons, informació familiar o dades financeres— per intimidar directament les víctimes.

Un cas especialment sensible es va produir en un hospital nord-americà afectat per un atac amb programari de segrest. Segons va explicar Zac Warren, els atacants trucaven directament a infermers i treballadors sanitaris, i els mencionaven les seves adreces particulars i altra informació privada perquè se sentissin vigilats. Aquest tipus d’intimidació busca generar un alt nivell d’estrès emocional i pressionar l’organització perquè pagui el rescat ràpidament.

La situació és especialment greu perquè molts dels atacants no executen personalment aquestes amenaces, sinó que subcontracten tercers. Alguns grups criminals utilitzen fòrums, xarxes socials o canals clandestins per contractar persones disposades a intimidar, seguir o agredir físicament les víctimes. Aquest fenomen s’emmarca en el concepte conegut com a “violència com a servei”, investigat per organismes com Europol.

Igual que existeixen models criminals com el servei de programari de segrest, ara també apareixen xarxes que ofereixen serveis d’intimidació física sota demanda. Les accions poden anar des de vandalitzar habitatges o vehicles fins a cometre agressions, segrestos o atacs més greus. Les autoritats nord-americanes també han alertat sobre xarxes criminals conegudes com “The Com”, vinculades a activitats violentes encarregades per ciberdelinqüents.

El món de les criptomonedes és un dels sectors més afectats per aquesta nova realitat. Els inversors i empresaris vinculats al sector cripto sovint exposen públicament el seu patrimoni o estil de vida a través de xarxes socials, convertint-se en objectius visibles per als criminals. Els darrers anys s’han registrat nombrosos casos de segrest i agressió contra persones relacionades amb criptomonedes, especialment a Europa.

A França, per exemple, la policia va rescatar el pare d’un milionari de criptomonedes que havia estat segrestat per exigir un rescat. Segons diverses informacions, els segrestadors li havien amputat un dit per pressionar la família. Aquest tipus de casos reflecteixen fins a quin punt la ciberdelinqüència i la criminalitat física estan començant a fusionar-se.

Els experts consideren que aquesta evolució continuarà augmentant. Mentre les empreses continuïn pagant rescats sota pressió, els grups criminals tindran incentius per incrementar el nivell d’intimidació. La combinació entre l’accés massiu a dades personals, les xarxes criminals globals i la fàcil contractació de serveis il·legals crea un entorn especialment complex des del punt de vista de la seguretat.

Això obliga les organitzacions a replantejar completament els seus protocols de protecció. Ja no n’hi ha prou amb defensar xarxes i servidors: cal protegir també la informació personal dels empleats, limitar l’exposició pública i preparar protocols davant possibles amenaces físiques derivades d’incidents digitals. La ciberseguretat deixa de ser només una qüestió tecnològica i passa a convertir-se també en un problema de seguretat humana.

En definitiva, la ciberdelinqüència està evolucionant cap a models híbrids on el món digital i la violència física convergeixen cada vegada més. Els atacs ja no busquen únicament diners o dades, sinó generar por real per augmentar l’eficàcia de l’extorsió. Aquesta nova etapa representa un dels grans reptes de seguretat dels pròxims anys i obliga empreses i institucions a adaptar-se a una amenaça molt més agressiva i complexa.

_____

Esta entrada en español / This post in English / Post en français

Aujourd’hui c’est un jour férié en Catalogne. Nous ne publions pas la note. Rendez-vous lundi

Notes de seguretatDeixa un comentari

_____

Aquest apunt en català / Esta entrada en español / This post in English

Today is bank holiday in Catalonia. We don’t publish any post. See you on Monday

Notes de seguretatDeixa un comentari

_____

Aquest apunt en català / Esta entrada en español / Post en français

Intelligence artificielle et sécurité informatique

Notes de seguretatDeixa un comentari

La cybersécurité entre dans une nouvelle étape marquée par l’irruption massive de l’intelligence artificielle dans les opérations offensives et défensives. Pendant des décennies, le secteur a fonctionné selon des règles relativement stables : la découverte de vulnérabilités était un processus lent, le développement d’exploits exigeait du temps et des compétences spécialisées, et les entreprises disposaient d’une marge suffisante pour corriger les failles avant qu’elles ne soient exploitées à grande échelle. Ce modèle évolue désormais rapidement.

Un rapport récent de Google montre à quel point l’IA est en train de transformer le paysage de la cybersécurité. Selon ce document, un acteur criminel a, pour la première fois, été identifié en train d’utiliser l’intelligence artificielle pour exploiter une vulnérabilité zero-day capable de contourner des systèmes d’authentification à double facteur dans un outil populaire d’administration web. L’enjeu n’est pas seulement cette attaque concrète, mais le fait que l’IA est désormais utilisée de manière pratique et industrialisée pour accélérer des processus offensifs qui nécessitaient auparavant des semaines, voire des mois de travail humain.

Le rapport souligne également la montée en puissance de l’usage de l’IA par des groupes liés à la Chine et à la Corée du Nord. Ces organisations utilisent déjà des modèles avancés pour localiser les vulnérabilités, générer des exploits et automatiser les tâches de reconnaissance sur des objectifs potentiels. Parallèlement, des outils et des logiciels malveillants semi-autonomes capables d’exécuter des processus complets avec une intervention humaine minimale commencent à apparaître. Des plateformes comme OpenClaw Github illustrent cette nouvelle tendance vers des systèmes capables d’orchestrer et d’automatiser des opérations offensives complexes.

Cette évolution entraîne une accélération radicale du cycle de la cybersécurité. Jusqu’ici, après la découverte d’une vulnérabilité critique, les attaquants avaient besoin de temps pour la comprendre, développer un exploit fonctionnel et l’adapter à des environnements réels. Désormais, l’IA peut réduire ce processus à quelques heures, voire quelques minutes. Cela réduit considérablement la marge de manœuvre dont disposaient traditionnellement les éditeurs et les équipes de sécurité pour déployer des correctifs et des mesures de protection.

Le changement affecte particulièrement le modèle classique de « divulgation responsable » des vulnérabilités. Ce système octroyait aux fabricants une période d’environ 90 jours avant de rendre publique une vulnérabilité découverte par les chercheurs. Le modèle partait du principe que la découverte de failles était difficile et que les attaquants mettraient du temps à développer des outils d’exploitation. Ces hypothèses sont aujourd’hui obsolètes.

Plusieurs experts en sécurité, parmi lesquels le vulgarisateur Himanshu Anand, estiment que l’intelligence artificielle a totalement bouleversé ces délais. Selon cette vision, il n’est plus possible de supposer qu’un chercheur soit le seul à avoir identifié une faille de sécurité, car plusieurs systèmes automatisés peuvent découvrir simultanément la même vulnérabilité. Il n’est pas non plus réaliste de penser que les attaquants auront besoin de plusieurs semaines pour développer des exploits après la publication d’un correctif. Les modèles actuels sont capables de générer des preuves de concept et d’adapter un code malveillant pratiquement en temps réel.

Cette nouvelle réalité impose donc une réponse beaucoup plus rapide. Les vulnérabilités critiques deviennent des priorités absolues dès leur identification. Les entreprises ne peuvent plus attendre le prochain cycle de développement ou le sprint suivant pour appliquer des correctifs. Les équipes de sécurité ont besoin d’une surveillance constante, d’une capacité de réaction immédiate et d’outils automatisés capables de détecter et de corriger les menaces en temps réel.

Ce scénario transforme également la manière de développer des logiciels. Il sera de plus en plus difficile d’imaginer de grandes applications ou infrastructures déployées sans révisions approfondies réalisées par des systèmes avancés d’intelligence artificielle. Ce qui était encore perçu il y a un an comme une limite – les faux positifs et les « hallucinations » des grands modèles de langage – évolue rapidement vers le problème inverse : des outils suffisamment performants pour détecter des vulnérabilités qui échappaient jusque-là aux équipes humaines.

La conséquence est l’émergence d’une véritable course aux armements numériques. Attaquants comme défenseurs s’appuient désormais sur des IA toujours plus sophistiquées pour obtenir un avantage. Les organisations souhaitant maintenir un haut niveau de protection devront investir dans des agents avancés, des plateformes d’analyse automatisée et des systèmes de détection fondés sur l’intelligence artificielle. Cette évolution impliquera des coûts importants et renforcera encore la dépendance technologique vis-à-vis des grandes plateformes d’IA.

En définitive, la cybersécurité entre dans une phase de transformation accélérée. L’intelligence artificielle n’est plus seulement un outil auxiliaire, mais devient le centre d’un nouveau modèle de défense et d’attaque numérique. Le débat est ainsi passé très rapidement de la question de savoir si l’IA était suffisamment fiable à celle de reconnaître qu’elle est désormais assez puissante pour bouleverser complètement les règles traditionnelles de la sécurité informatique.

_____

Aquest apunt en català / Esta entrada en español / This post in English

Artificial intelligence and IT security

Notes de seguretatDeixa un comentari

Cybersecurity is entering a new phase characterised by the widespread adoption of artificial intelligence in both offensive and defensive operations. For decades, the sector had operated under relatively stable rules: discovering vulnerabilities was a slow process, developing exploits required time and specialist knowledge, and companies had sufficient time to fix bugs before they were widely exploited. This model, however, is changing rapidly.

A recent report from Google shows the extent to which AI is transforming the cybersecurity landscape. According to the document, a criminal entity has been identified for the first time as using artificial intelligence to exploit a zero-day vulnerability capable of bypassing two-factor authentication systems in a popular web management tool. What is most significant is not just the specific attack, but the fact that AI is already being used in a practical and industrialised manner to accelerate offensive processes that previously required weeks or months of human labour.

The report also highlights the increased use of AI by groups linked to China and North Korea. These organisations are already using advanced models to identify vulnerabilities, generate exploits, and automate reconnaissance tasks on potential targets. At the same time, tools and semi-autonomous malware capable of executing entire processes with minimal human intervention are beginning to emerge. Platforms such as OpenClaw Github exemplify this new trend towards systems capable of orchestrating complex offensive operations in an automated manner.

This development implies a radical acceleration of the cybersecurity cycle. Previously, once a critical vulnerability was discovered, attackers needed time to understand it, create a functional exploit and adapt it to real-world environments. Now, AI can reduce this process to hours or even minutes. This eliminates much of the leeway that manufacturers and security teams traditionally had to deploy patches and protective measures.

The change particularly affects the classic model of “responsible disclosure” of vulnerabilities. This system was based on giving manufacturers a period of approximately 90 days before making public a vulnerability discovered by researchers. The model assumed that discovering vulnerabilities was difficult and that it would take attackers time to develop exploitation tools. Today, these assumptions are becoming obsolete.

Several security experts, including security researcher Himanshu Anand, warn that artificial intelligence has completely disrupted these timelines. According to this view, it can no longer be assumed that a researcher is the only one to have discovered a security flaw, because multiple automated systems can identify the same vulnerability simultaneously. Nor can we expect attackers to take weeks to develop exploits after a patch has been released. Current models are capable of generating proof-of-concepts and adapting malicious code almost in real time.

Therefore, the new reality demands a much faster response. Critical vulnerabilities are now treated as top priorities from the very outset. Companies can no longer wait for the next development cycle or the next sprint to apply fixes. Security teams need constant monitoring, immediate response capabilities, and automated tools capable of detecting and fixing threats in real time.

This scenario is also transforming the way software is developed. It will become increasingly difficult to imagine large applications or infrastructures being deployed without exhaustive reviews carried out by advanced artificial intelligence systems. What was seen as a limitation just a year ago – false positives and the “hallucinations” of large language models – is rapidly evolving into the opposite problem: tools that are efficient enough to uncover vulnerabilities that previously went unnoticed by human teams.

The result is a genuine digital arms race. Both attackers and defenders are using increasingly sophisticated AI to gain the upper hand. Organisations wishing to maintain high levels of protection will need to invest in advanced agents, automated analytics platforms, and AI-based detection systems. This will entail significant costs and further increase technological dependence on major AI platforms.

Ultimately, cybersecurity is entering a phase of rapid transformation. Artificial intelligence is no longer merely a supporting tool, but the centrepiece of a new model of digital defence and attack. The debate has shifted very rapidly from questioning whether AI was reliable enough to assuming that it is powerful enough to completely overhaul the traditional rules of IT security.

_____

Aquest apunt en català / Esta entrada en español / Post en français