Kaspersky ha identificado una nueva estafa que utiliza funciones de la plataforma de OpenAI para engañar a los usuarios. Los atacantes aprovechan los sistemas de creación de organizaciones e invitación a equipos para enviar correos fraudulentos que parecen auténticos al proceder de direcciones legítimas de OpenAI y engañar así a los usuarios.
La estafa comienza cuando los ciberdelincuentes registran una cuenta en la plataforma de OpenAI. Durante el proceso de registro, se solicita introducir un nombre para la organización, un campo que permite cualquier combinación de caracteres. Los estafadores aprovechan esta flexibilidad para insertar textos engañosos, enlaces fraudulentos o números de teléfono falsos.
Una vez creada la “organización”, la plataforma permite invitar a miembros del equipo introduciendo las direcciones de correo electrónico de las posibles víctimas. De este modo, el contenido malicioso se introduce directamente en el campo «nombre de la organización», que posteriormente aparece en los correos de invitación
Las invitaciones se envían desde una dirección oficial de OpenAI, lo que dificulta su detección y aumenta la credibilidad del mensaje.
Los estafadores insertan texto engañoso directamente en el campo «nombre de la organización».
El campo «invita a tu equipo» permite a los atacantes dirigirse a direcciones de correo electrónico concretas.
Kaspersky ha detectado distintos tipos de correos distribuidos mediante este método, incluidos mensajes con amenazas y contenidos claramente fraudulentos. Entre los ejemplos observados se encuentran correos que promocionan ofertas falsas, como supuestos servicios para adultos. Otro de los métodos empleados es el vishing, mediante falsas notificaciones que informan de la renovación de una suscripción por una cantidad elevada y que instan al destinatario a llamar a un número de teléfono para “cancelar el cargo”. Estas llamadas pueden derivar en nuevas estafas o en un mayor compromiso de la seguridad de la víctima.
Los investigadores no descartan que aparezcan otras amenazas distribuidas a través de esta técnica.
Ejemplo de correo electrónico fraudulento
Ejemplo de vishing
Entre los ejemplos observados se encuentran correos que promocionan ofertas falsas, como supuestos servicios para adultos. Otro de los métodos empleados es el vishing: falsas notificaciones que informan de la renovación de una suscripción por una cantidad elevada y que instan al destinatario a llamar a un número de teléfono para “cancelar el cargo”. Estas llamadas pueden derivar en nuevas estafas o en un mayor compromiso de la seguridad de la víctima. Los investigadores no descartan que aparezcan otras amenazas distribuidas a través de esta técnica.
“Este caso pone de manifiesto cómo determinadas funciones de las plataformas pueden ser utilizadas con fines maliciosos en ataques de ingeniería social. Al introducir elementos engañosos en campos aparentemente inofensivos, como el nombre de una organización, los estafadores intentan eludir los filtros tradicionales de correo y aprovechar la confianza de los usuarios en servicios reconocidos. Por ello, es recomendable verificar cualquier invitación y evitar hacer clic en enlaces sin comprobar su legitimidad. También animamos a las empresas a analizar si sus plataformas o servicios online pueden ser utilizados de forma abusiva por los atacantes”, afirma Anna Lazaricheva, analista senior de spam en Kaspersky.
Para evitar caer en este tipo de fraudes, los expertos recomiendan:
- Desconfiar de cualquier invitación no solicitada, incluso si parece proceder de una plataforma legítima.
- Revisar cuidadosamente las URL antes de hacer clic.
- No llamar a números de teléfono incluidos en correos sospechosos; si es necesario contactar con el soporte de un servicio, buscar siempre el número en su web oficial.
- Notificar los correos sospechosos al proveedor del servicio y reforzar la seguridad mediante autenticación multifactor.
Te puede interesar
- Reservas falsas, voces clonadas y WhatsApp: las estafas digitales ya juegan con las emociones de los usuarios
- La mitad de las empresas españolas prioriza la ciberseguridad interna frente a las amenazas externas
- Gestión de accesos privilegiados: el eslabón crítico en la protección de datos corporativos
