Proofpoint alerta de que los ciberdelincuentes están utilizando la Inteligencia Artificial (IA) para crear estafas cada vez más sofisticadas y difíciles de detectar. Las herramientas de IA generativa, capaces de generar contenido muy realista, facilitan la suplantación de identidad y la manipulación, lo que representa un riesgo importante para usuarios y empresas.
Esta tecnología se puede utilizar para crear imágenes, textos, e incluso audios y videos muy convincentes, y además permite automatizar ciertas técnicas y aumentar las probabilidades de éxito. Según los análisis de la compañía, la IA generativa se está utilizando en cuatro áreas clave de la ingeniería social: estafas conversacionales, deepfakes, ataques BEC y perfiles automatizados en redes.
Estafas conversacionales convincentes
Los delincuentes recopilan grandes cantidades de texto de redes sociales, aplicaciones de mensajería y otras fuentes para entrenar modelos de Procesamiento del Lenguaje Natural (NLP). Estos modelos aprenden a imitar patrones de lenguaje humano, permitiéndoles generar mensajes de texto que parecen auténticos y que pueden usarse para suplantar identidades, manipular a las víctimas y llevar a cabo estafas personalizadas en plataformas como Instagram, WhatsApp y Tinder.
Contenido manipulado con deepfakes
La IA permite crear deepfakes, videos e imágenes falsos increíblemente realistas que suplantan la identidad de una persona y la representan diciendo o haciendo cosas que nunca han hecho. Los ciberdelincuentes buscan fotografías, grabaciones y audios de la persona a la que quieren imitar y mediante modelos avanzados de machine learning consiguen crear su propio contenido cada vez más verosímil.
Los deepfakes pueden ser una herramienta extremadamente útil para, por ejemplo, suplantar la identidad del hijo o nieto de una persona en un timo telefónico, o para manipular la opinión pública mediante campañas de difamación usando la imagen de personajes públicos.
Ataques personalizados de Business Email Compromise (BEC)
En el informe State of the Phish 2024 de Proofpoint se indica la utilidad de la IA generativa para ejecutar ataques BEC en países como Japón, Corea o los Emiratos Árabes Unidos, que antes eran evitados por sus barreras lingüísticas, diferencias culturales o falta de visibilidad. Sin embargo, gracias a la IA, los ciberdelincuentes pueden ahora escribir prácticamente en cualquier idioma, mejorar la calidad de los mensajes y actuar de una forma mucho más rápida.
En estas estafas dirigidas a empresas suelen utilizarse técnicas de suplantación de identidad: los ciberdelincuentes se hacen pasar por personas de confianza para los empleados, como un directivo, y les engañan para transferir dinero o divulgar información confidencial.
La IA generativa aprende patrones del contenido creado por las personas, lo que le permite construir mensajes de ingeniería social personalizados y muy convincentes. De esta forma, pueden imitar el estilo, tono y firma de la persona o empresa suplantada, y automatizar su adaptación a los diferentes destinatarios objetivo.
Perfiles y publicaciones falsas automatizadas
Los ciberdelincuentes también pueden utilizar la IA para crear identidades falsas y generar contenido en redes sociales y plataformas de noticias. Esta tecnología puede imitar el estilo y tono de las fuentes de noticias fiables para crear nuevos artículos, traducir y localizar texto en varios idiomas, y ocuparse de tareas repetitivas, como responder mensajes o comentar. A gran escala, podrían incluso difundir bulos e influir en los debates online.
Además, los estafadores pueden crear perfiles en plataformas como Facebook, Instagram, foros y aplicaciones de citas para establecer relaciones con sus objetivos y aprovecharse de su confianza. Simplemente procesando los datos de una conversación pueden crear con IA respuestas convincentes.
“En todos estos escenarios, los ciberdelincuentes utilizan IA generativa para fingir de forma realista y convincente ser alguien que no son. Manipulan la psicología humana con ingeniería social. Y eso lleva a las personas a realizar acciones que no son seguras como hacer clic en enlaces maliciosos, divulgar información personal o transferir dinero”, informan desde Proofpoint. “La concienciación y la educación en ciberseguridad son esenciales para combatir estas nuevas amenazas. Es fundamental que los usuarios estén al día de las nuevas amenazas emergentes, que sean conscientes del potencial de la IA para manipular y aprendan a identificar contenido online falso o sospechoso”.