Los ciberataques basados en la ingeniería social (el acto de manipular a las personas para obtener datos valiosos de estas) no han cambiado mucho con el paso de los años, pero las técnicas (el cómo) sí que han evolucionado, sobre todo gracias a la irrupción de la IA.
Las formas tradicionales de defensa ya tenían dificultades para resolver la ingeniería social, la «causa de la mayoría de las violaciones de datos», según Thomson Reuters. La próxima generación de ciberataques y actores de amenazas impulsados por IA tienen la capacidad de lanzar estos ataques con una velocidad, una escala y un realismo sin precedentes.
El sitio web especializado The Hacker News repasa algunos de los nuevos métodos de estafas, basados en ingeniería social, y que se apoyan en la IA.
Videos deepfake
Los deepfakes son videos creados artificialmente que replican (casi a la perfección) a una persona, por lo que esta tecnología generada con IA ofrece una nueva forma de intensificar esta forma de ataque.
El año pasado, en Hong Kong, atacantes crearon un deepfake de un director financiero para llevar a cabo una estafa de 25 millones de dólares. Luego invitaron a un colega a una videoconferencia. Allí fue donde el director financiero generado de forma artificial convenció al empleado para que hiciera la transferencia millonaria a la cuenta de los estafadores.
Vishing: phishing de voz potenciado con IA
El phishing de voz, a menudo conocido como vishing, utiliza audio en vivo para aprovechar el poder del phishing tradicional, en el que se convence a las personas de brindar información que compromete a su organización.
Las recomendaciones tradicionales de defensa contra el vishing incluyen pedir a las personas que no hagan clic en los enlaces que acompañan a las solicitudes y devolver la llamada a la persona a un número de teléfono oficial. Sin embargo, cuando la voz proviene de alguien que la persona conoce, es natural que la confianza pase por alto cualquier preocupación de verificación.
Ese es el gran desafío que trae consigo la IA, ya que los atacantes ahora utilizan tecnología de clonación de voz, a menudo obtenida de unos pocos segundos de la voz del objetivo.
Por ejemplo, una madre recibió una llamada de alguien que había clonado la voz de su hija, quien le dijo que la secuestraron y que los atacantes querían una recompensa de 50.000 dólares.
La evolución del phishing en los ciberataques
La mayoría de las personas que tienen una dirección de correo electrónico han ganado la lotería. Al menos, han recibido un correo electrónico en el que se les informa de que han ganado millones, tal vez con una referencia a un rey o príncipe que podría necesitar ayuda para liberar los fondos, a cambio de un pago por adelantado.
Con el tiempo, estos intentos de phishing se han vuelto mucho menos efectivos por múltiples razones. Se envían en masa con poca personalización y muchos errores gramaticales, y las personas son más conscientes de estas estafas.
Otras versiones, como el uso de páginas de inicio de sesión falsas para bancos (muy de moda en Venezuela, por cierto), a menudo se pueden bloquear mediante protección de navegación web y filtros de spam, además de educar a las personas para que revisen la URL con atención.
Ahora, la IA permite a los ciberdelincuentes acceder a herramientas que funcionan perfectamente mediante el uso de LLM (modelos grandes de lenguaje) en lugar de depender de traducciones básicas. También pueden usar la IA para enviarlas a múltiples destinatarios a gran escala, y la personalización permite una forma más específica de phishing. ciberataques en ingeniería social
Además, es posible utilizar estas herramientas en varios idiomas, lo que les abre las puertas a un mayor número de regiones, donde los destinatarios pueden no estar tan al tanto de las técnicas tradicionales de phishing y de lo que deben comprobar.
La Harvard Business Review advierte de que «todo el proceso de phishing se puede automatizar utilizando LLM, lo que reduce los costos de los ataques de phishing en más del 95 % y consigue tasas de éxito iguales o superiores«.
Las amenazas repotenciadas por la IA implican replantear las defensas
La ciberseguridad siempre ha sido una batalla entre defensa y ataque, pero la IA ha añadido una dimensión diferente. Ahora, los objetivos no tienen forma de saber qué es real y qué es falso cuando un atacante intenta manipular su:
- Confianza: al hacerse pasar por un colega y pedir a un empleado que eluda los protocolos de seguridad para acceder a información confidencial
- Respeto a la autoridad: al hacerse pasar por el director financiero de un empleado y ordenarle que complete una transacción financiera urgente
- Miedo: al crear una sensación de urgencia y pánico, significa que el empleado no piensa en considerar si la persona con la que está hablando es genuina
Se trata de emociones primitivas y del instinto humano que han evolucionado a lo largo de miles de años. Sin embargo, no van a la misma velocidad que los métodos de los actores maliciosos o el progreso de la IA. En otras palabras: las formas tradicionales de capacitación, con cursos en línea y preguntas y respuestas, no están diseñadas para estos ciberataques impulsados por la IA y potenciados con ingeniería social.
Por lo tanto, personas, empresas y organizaciones deben tomar consciencia de este momento tan particular y extremar medidas como la desconfianza, el sentido común y siempre, en la medida de las posibilidades, verificar antes de actuar, al menos mientras las herramientas tecnológicas se adecuan a esta nueva (y disruptiva) realidad.
Continúa leyendo: Un motor de cohete ruso podría acortar la duración de los vuelos a Marte a dos meses
