phishing phishing

Cómo la IA transformará el phishing: de correos electrónicos a deepfakes

antoniojurado

Manuel Jurado Vázquez

Experto en Ciberseguridad

Sobre mi

Graduado en Ingeniería de Telecomunicaciones, con máster en Ciberseguridad y certificación en seguridad de la información ISO27001LA. Actualmente trabajando en el área de ciberseguridad en el sector financiero.

Los ciberdelincuentes han encontrado en la IA un mecanismo adicional para automatizar y hacer el envío de phishing a sus víctimas de forma más eficaz y eficiente, haciéndolos más difíciles de detectar

30 May 2024

5 Min de lectura

Primero recordemos que el phishing es una técnica de ingeniería social que utilizan los ciberdelincuentes para engañar a las personas y obtener información confidencial, como contraseñas, números de tarjetas de crédito o datos personales. Normalmente, lo consiguen haciéndose pasar por entidades confiables, como bancos, empresas o incluso amigos o personas de nuestro círculo. Una vez consiguen obtener la información, hacen uso de ella para robar dinero, realizar compras fraudulentas o cometer otros delitos.

 

Aunque el correo electrónico es actualmente el canal más común para los ataques de phishing, también puede llegar por otros canales como SMS, llamadas telefónicas o redes sociales. Además, últimamente se tiene un aumento de casos de estafas en aplicaciones de mensajería instantánea, portales de viajes, aplicaciones de compra-venta de segunda mano, etc.

 

Dado que cada vez estamos más conectados y utilizamos un mayor número de servicios de forma online, el alcance objetivo del phishing va creciendo, ya que los ciberdelincuentes van evolucionando para hacer ataques de phishing más creíbles y sofisticados, a la vez que más automatizados.

Es por ello que, en los próximos años, es de esperar que se haga más frecuente el uso de técnicas de Inteligencia Artificial (IA) para los ataques de phishing.

 

¿Cómo pueden utilizar los ciberdelincuentes la IA para realizar phishing avanzados?

 

Los ciberdelincuentes han encontrado en la IA un mecanismo adicional para automatizar y hacer el envío de phishing a sus víctimas de forma más eficaz y eficiente, haciéndolos más difíciles de detectar. Por ejemplo, estos pueden:

  • Automatizar la creación y envío de miles de mensajes de phishing en poco tiempo mediante el uso de bots, de forma que se dirija el ataque a un gran número de personas al mismo tiempo para aumentar sus posibilidades de éxito.
  • Enviar mensajes altamente personalizados y convincentes, gracias a que la IA les permite analizar grandes volúmenes de datos y crear textos y diseños más realistas.
  • Realizar la entrega de los mensajes en el momento justo y de forma que parezcan escritos por una persona o entidad real, adaptando el lenguaje y tono del mensaje según el grupo objetivo.
  • Todo esto aumenta la probabilidad de que la víctima caiga en la trampa. Incluso, se tienen los phishing dirigidos a personas específicas mediante el uso de técnicas como los deepfakes.

 

¿Qué son los deepfakes? ¿Pueden usarlos para engañarnos?

 

Los deepfakes son videos, fotos o grabaciones de voz falsas en los que se imitan a personas o eventos reales, y que se consiguen realizar mediante el uso de técnicas de inteligencia artificial. De esta forma, pueden utilizar parte de una grabación para sustituir la cara o voz de otra persona o incluso generar imágenes desde cero.

 

Por ejemplo, los ciberdelincuentes pueden hacer uso de estas técnicas para imitar a altos ejecutivos o personas de confianza de la víctima para así resultar más convincentes a la hora de solicitar información confidencial.

 

Aunque la mayoría de las campañas de phishing suelen tener un carácter masivo para estar dirigido al mayor público posible, es de esperar que el uso de los deepfakes u otras técnicas de IA para este tipo de campañas se vaya haciendo cada vez más habitual.

 

¿Entonces cómo podemos protegernos? ¿Cómo identificamos que se trata de phishing?

 

Existen múltiples indicios que nos pueden hacer sospechar a la hora de recibir un correo o una llamada que no esperábamos. Dependiendo del medio por el que nos llegue y las características del mensaje, puede haber diferentes pistas que nos hagan pensar que se trata de un phishing. No obstante, existen algunos aspectos generales comunes que podemos verificar independientemente del caso:

  • Urgencia: Son sospechosos los mensajes que intentan crear un sentido de urgencia o que amenazan con supuestas consecuencias graves si no se actúa de inmediato.
  • Remitente del mensaje: Verificar quién está realmente detrás del mensaje. Si es un correo, revisar la dirección de correo remitente (el dominio de correo); si es una llamada o SMS, desconfiar de números que no conoces y ser precavido (por ejemplo, tú banco no te contactará nunca para solicitarte información confidencial). Si es un deepfake y te fijas en los detalles, probablemente haya parpadeo poco natural, desincronización en el movimiento de los labios, etc.
  • También, tradicionalmente, los mensajes de phishing venían a menudo con errores ortográficos y/o gramaticales, por lo que era una forma clara de desconfiar de un remitente que suplanta a una fuente oficial. No obstante, recordemos que como ahora los mensajes pueden ser más sofisticados por el uso de IA generativa, podemos encontrarnos con ejemplos de phishing perfectamente escritos y diseñados.

 

En general, la recomendación es desconfiar de todos aquellos contactos inesperados que te soliciten información confidencial y, además, tomar el control de la situación. Es decir, si por ejemplo alguien te contacta con cierta urgencia o solicitándote dinero o información y que dice ser tu banco, amigo o conocido, lo más idóneo sería cortar la comunicación y verificar por otro canal por cuenta propia, iniciando tú así la comunicación para verificar la situación y evitar, de este modo, ser objeto de un phishing.

 

artículos relacionados

deepfake

Deepfake, ¿sabes cómo enfrentarte a ellos?

El nombre viene de la unión de Deep learning, que es un concepto de la Inteligencia Artificial, y fake, falso en inglés. Se trata de una técnica que permite editar vídeos falsos de personas que aparentemente son reales

Leer más
InteligenciaArtificial

Inteligencia Artificial, ¿qué está por venir?

El principal objetivo que conseguirá la IA, de forma transversal en todos los sectores, será mejorar y hacer más cómodo el día a día de las personas

Leer más
phishing

Phishing, ¿sabes cómo detectarlo?

Hay numerosos programas informáticos anti-phishing que nos pueden ayudar a evitar ser víctimas de este fraude

Leer más
Volver
Escuchando