Cómo la IA ha cambiado las reglas de juego del Phishing


En el ámbito de la ciberseguridad, la IA está siendo de gran ayuda a los equipos de Blue Team alrededor del mundo, permitiendo una agilización sustancial del análisis de eventos en tiempo real, reconociendo patrones y comportamientos anómalos que históricamente han sido tediosos de detectar.
Lamentablemente, no todos los usos de la IA son beneficiosos. Cada vez más, los atacantes cibernéticos están usando herramientas basadas en IA para perfeccionar los ataques contra personas y empresas. Especialmente, en el caso de phishing, el uso de esta tecnología permite llevar este tipo de ataques un paso más allá, especialmente en lo que se refiere como Ingeniería Social.
La ingeniería social en el ámbito del phishing se usa para referirse a todas aquellas técnicas utilizadas para manipular y engañar a las víctimas con el fin de obtener información: contraseñas, datos bancarios, datos personales, etc. Los principales vectores de ataque usados en tácticas de phishing de ingeniería social se podrían resumir en los siguientes:
Correo electrónico de suplantación de identidad
Es el tipo de ataque más común, donde un atacante envía un correo que aparenta provenir de una fuente confiable, a menudo acompañado de enlaces a sitios webs falsos que replican portales de ingreso de credenciales legítimos, como el de un banco.
El uso de la IA en estas webs permite a los atacantes incluir elementos que generen confianza, como un agente de chat que interactúe con la víctima de manera aparentemente humana y camufla el hecho de que se trata de un portal malicioso.
Llamadas telefónicas de phishing (Vishing)
Este tipo de ataque se centra en la suplantación de identidad a través de víatelefónica, pretendiendo ser un representante de empresa o institución, solicitando a la víctima que les proporcione información sensible o realice acciones que beneficien al atacante.
En este caso, el uso de la Inteligencia Artificial permite a los atacantes la creación de Deep Fakes de un representante o alto cargo de la empresa de la víctima, entrenando a un motor de generación de audio con contenido audiovisual disponible al público en el que dicho representante hable, llegando a poder generar una voz muy parecida a la real y usarla en llamadas telefónicas con tal de que la víctima confíe y caiga en el engaño.
Aunque los métodos de ataque evolucionen, desde GFT seguimos promoviendo la idea de que la mejor defensa ante estos ataques es el entrenamiento y la práctica de las personas. Es de vital importancia realizar formaciones para que los usuarios sepan identificar intentos de contacto maliciosos, indiferentemente de la vía. Esto puede hacerse de diversas maneras: campañas de phishing internas desde el departamento de seguridad de la empresa, concienciación de los empleados y/o cursos teóricos con ejemplos de los diferentes métodos que usan los atacantes para intentar vulnerar la integridad de la empresa. Todo esto sumado a un gestor de correo correctamente configurado y monitorizado, así como estandarizar las vías de contacto entre empleados y altos cargos susceptibles a su suplantación, garantizan una disminución verdaderamente sustancial de las posibilidades de que un intento de phishing sea satisfactorio.
