Primero recordemos que el phishing es una técnica de ingeniería social que utilizan los ciberdelincuentes para engañar a las personas y obtener información confidencial, como contraseñas, números de tarjetas de crédito o datos personales. Normalmente, lo consiguen haciéndose pasar por entidades confiables, como bancos, empresas o incluso amigos o personas de nuestro círculo. Una vez consiguen obtener la información, hacen uso de ella para robar dinero, realizar compras fraudulentas o cometer otros delitos.
Aunque el correo electrónico es actualmente el canal más común para los ataques de phishing, también puede llegar por otros canales como SMS, llamadas telefónicas o redes sociales. Además, últimamente se tiene un aumento de casos de estafas en aplicaciones de mensajería instantánea, portales de viajes, aplicaciones de compra-venta de segunda mano, etc.
Dado que cada vez estamos más conectados y utilizamos un mayor número de servicios de forma online, el alcance objetivo del phishing va creciendo, ya que los ciberdelincuentes van evolucionando para hacer ataques de phishing más creíbles y sofisticados, a la vez que más automatizados.
Es por ello que, en los próximos años, es de esperar que se haga más frecuente el uso de técnicas de Inteligencia Artificial (IA) para los ataques de phishing.
¿Cómo pueden utilizar los ciberdelincuentes la IA para realizar phishing avanzados?
Los ciberdelincuentes han encontrado en la IA un mecanismo adicional para automatizar y hacer el envío de phishing a sus víctimas de forma más eficaz y eficiente, haciéndolos más difíciles de detectar. Por ejemplo, estos pueden:
- Automatizar la creación y envío de miles de mensajes de phishing en poco tiempo mediante el uso de bots, de forma que se dirija el ataque a un gran número de personas al mismo tiempo para aumentar sus posibilidades de éxito.
- Enviar mensajes altamente personalizados y convincentes, gracias a que la IA les permite analizar grandes volúmenes de datos y crear textos y diseños más realistas.
- Realizar la entrega de los mensajes en el momento justo y de forma que parezcan escritos por una persona o entidad real, adaptando el lenguaje y tono del mensaje según el grupo objetivo.
- Todo esto aumenta la probabilidad de que la víctima caiga en la trampa. Incluso, se tienen los phishing dirigidos a personas específicas mediante el uso de técnicas como los deepfakes.
¿Qué son los deepfakes? ¿Pueden usarlos para engañarnos?
Los deepfakes son videos, fotos o grabaciones de voz falsas en los que se imitan a personas o eventos reales, y que se consiguen realizar mediante el uso de técnicas de inteligencia artificial. De esta forma, pueden utilizar parte de una grabación para sustituir la cara o voz de otra persona o incluso generar imágenes desde cero.
Por ejemplo, los ciberdelincuentes pueden hacer uso de estas técnicas para imitar a altos ejecutivos o personas de confianza de la víctima para así resultar más convincentes a la hora de solicitar información confidencial.
Aunque la mayoría de las campañas de phishing suelen tener un carácter masivo para estar dirigido al mayor público posible, es de esperar que el uso de los deepfakes u otras técnicas de IA para este tipo de campañas se vaya haciendo cada vez más habitual.
¿Entonces cómo podemos protegernos? ¿Cómo identificamos que se trata de phishing?
Existen múltiples indicios que nos pueden hacer sospechar a la hora de recibir un correo o una llamada que no esperábamos. Dependiendo del medio por el que nos llegue y las características del mensaje, puede haber diferentes pistas que nos hagan pensar que se trata de un phishing. No obstante, existen algunos aspectos generales comunes que podemos verificar independientemente del caso:
- Urgencia: Son sospechosos los mensajes que intentan crear un sentido de urgencia o que amenazan con supuestas consecuencias graves si no se actúa de inmediato.
- Remitente del mensaje: Verificar quién está realmente detrás del mensaje. Si es un correo, revisar la dirección de correo remitente (el dominio de correo); si es una llamada o SMS, desconfiar de números que no conoces y ser precavido (por ejemplo, tú banco no te contactará nunca para solicitarte información confidencial). Si es un deepfake y te fijas en los detalles, probablemente haya parpadeo poco natural, desincronización en el movimiento de los labios, etc.
- También, tradicionalmente, los mensajes de phishing venían a menudo con errores ortográficos y/o gramaticales, por lo que era una forma clara de desconfiar de un remitente que suplanta a una fuente oficial. No obstante, recordemos que como ahora los mensajes pueden ser más sofisticados por el uso de IA generativa, podemos encontrarnos con ejemplos de phishing perfectamente escritos y diseñados.
En general, la recomendación es desconfiar de todos aquellos contactos inesperados que te soliciten información confidencial y, además, tomar el control de la situación. Es decir, si por ejemplo alguien te contacta con cierta urgencia o solicitándote dinero o información y que dice ser tu banco, amigo o conocido, lo más idóneo sería cortar la comunicación y verificar por otro canal por cuenta propia, iniciando tú así la comunicación para verificar la situación y evitar, de este modo, ser objeto de un phishing.