Con el rápido avance de la tecnología, la escala y la sofisticación de los ciberataques están aumentando. Anne Neuberger, asesora adjunta de seguridad nacional de EE. UU., destacó esta preocupación en 2023, haciendo referencia a datos del FBI y del FMI que pronostican que el costo anual del delito cibernético en EE. UU. superará los 23 billones de dólares para 2027. Esta alarmante proyección subraya la urgente necesidad de seguridad que los sistemas evolucionen al ritmo de la militarización de AIlo que ha mejorado significativamente la complejidad y eficacia de las estafas.
Originalmente, suplantación de identidad Los ataques eran relativamente simplistas: los estafadores se hacían pasar por entidades legítimas a través de correo electrónico engañar a las personas para que revelen información confidencial, como contraseñas y números de tarjetas de crédito. Estos ciberdelincuentes también engañan a las víctimas para que utilicen enlaces maliciosos o abran archivos infectados, lo que lleva a la instalación automática de malware en sus dispositivos.
Sin embargo, la llegada de SMS Las comunicaciones empresariales, los códigos QR y las tecnologías avanzadas de manipulación de la voz han hecho que los esquemas de phishing sean cada vez más difíciles de detectar y han ampliado significativamente su potencial de daño. Esto plantea una pregunta crítica: ¿cómo amplifica la integración de la IA en estas tácticas las posibilidades de engañar a las personas para que divulguen información confidencial o interactúen con enlaces dañinos?
Fundador y director ejecutivo de EasyDMARC.
Quishing: phishing de códigos QR
Desde el inicio de la pandemia de COVID-19, ha habido un fuerte aumento en la prevalencia de estafas «quishing», una técnica de phishing que explota códigos QR. Este aumento coincidió con el hecho de que las empresas adoptaban cada vez más la tecnología de códigos QR como alternativa sin contacto a la física. documentos. Una vez que se escanean estos códigos QR, pueden dirigir a los usuarios a sitios maliciosos. sitios web diseñado para recopilar datos personales, como información de tarjetas de crédito, o para descargar automáticamente malware en el dispositivo del escáner.
En 2022, caballos de fuerza descubrió un sofisticado esquema de engaño en el que las personas recibían correos electrónicos disfrazados de notificaciones de un servicio de entrega de paquetes. Estos correos electrónicos indicaban a los destinatarios que realizaran un pago mediante un código QR. El informe del cuarto trimestre de HP del mismo año reveló que estos ataques de phishing basados en códigos QR eran mucho más frecuentes de lo que se pensaba anteriormente. Los hallazgos resaltaron una tendencia creciente entre los estafadores a utilizar códigos QR como medio para imitar negocios legítimos, con el objetivo de engañar a las personas para que entreguen su información personal.
Vishing: phishing por voz
A medida que avanzan los avances de la IA, la llegada de tecnologías de generación y alteración de voz presenta una amenaza importante y emergente. La Comisión Federal de Comercio, reconociendo este peligro, emitió una alerta en 2023 advirtiendo contra el potencial engañoso de los clones de voz generados por IA en las llamadas telefónicas. Esta advertencia no era infundada; Un caso notable en 2020 involucró a un trabajador financiero en Hong Kong que fue engañado para transferir £20 millones a una cuenta en el extranjero por un estafador que utilizaba tecnología deepfake.
Las estafas de vishing, o phishing de voz, cuentan con una tasa de éxito alarmantemente alta. Explotan el elemento sorpresa, obligando a las víctimas a tomar decisiones apresuradas bajo presión. Esta inmediatez, inherente a las llamadas de voz, contrasta marcadamente con las estafas basadas en correo electrónico, donde los destinatarios pueden hacer una pausa para cuestionar la legitimidad de la solicitud. Los estafadores también pueden personalizar su enfoque y adaptarse en tiempo real a las respuestas y al estado emocional de la víctima a lo largo del tiempo. teléfono, una ventaja de la que carecen las estafas por correo electrónico. Esta manipulación personalizada es mucho más difícil de replicar mediante intentos de phishing basados en texto.
VALL-E, un ejemplo notable de dicha tecnología, puede imitar la voz, las emociones y los patrones de habla únicos de una persona con una muestra de solo tres segundos de su voz. Esta capacidad a través de modelos alternativos se vuelve especialmente potente en manos de ciberdelincuentes que apuntan a personas de alto perfil, como los directores ejecutivos de empresas, para quienes existe abundante material audiovisual disponible en línea con fines de capacitación en IA. A medida que la tecnología deepfake avanza y se vuelve más accesible, el límite entre la realidad y la fabricación artificial se vuelve cada vez más borroso, amplificando el potencial de ataques vishing para engañar y manipular con una efectividad sin precedentes.
Smishing: phishing por SMS
Un estudio de 2023 realizado por NatWest reveló que el 28% de los residentes del Reino Unido notaron un aumento en las actividades fraudulentas en comparación con el año anterior, siendo los mensajes SMS fraudulentos la principal forma de phishing. Si bien muchas de estas estafas por SMS son fácilmente identificables como fraudes, aquellas que logran evadir la detección pueden causar un daño considerable.
Un incidente notable en 2022 involucró a un hacker autodidacta que se hizo pasar por un profesional de TI para proteger la contraseña de un empleado de Uber. Este ataque de smishing (phishing por SMS) aparentemente sencillo allanó el camino para que el hacker obtuviera un amplio acceso a las redes internas de Uber. Si bien es tentador ver estos incidentes como casos aislados, es probable que la evolución de la IA generativa permita incluso a los ciberdelincuentes novatos ejecutar operaciones de phishing más complejas con un conocimiento técnico mínimo.
Para aumentar la preocupación, el Centro Nacional de Ciberseguridad (NCSC) emitió una advertencia a principios de este año sobre el potencial de la IA generativa para mejorar la credibilidad de las estafas. Estas herramientas de IA ahora se están utilizando para crear «documentos señuelo» falsos que están libres de los habituales indicios de intentos de phishing, como errores de traducción, ortografía o gramaticales, gracias a las capacidades de refinamiento de chatbots y plataformas accesibles de IA generativa. Este avance pone de relieve el creciente desafío de distinguir las comunicaciones genuinas de las fraudulentas, lo que aumenta los riesgos en la batalla en curso contra el ciberdelito.
¿Cómo puede la ciberseguridad seguir el ritmo de la IA generativa?
En marzo, microsoft dio a conocer un informe que muestra que el 87% de las organizaciones del Reino Unido son ahora más susceptibles a los ciberataques debido a la creciente accesibilidad de las herramientas de inteligencia artificial, y el 39% de estas entidades se consideran de «alto riesgo». Esta alarmante estadística pone de relieve la urgente necesidad de que el Reino Unido refuerce sus mecanismos de ciberdefensa.
La llegada de la IA ha cambiado significativamente la dinámica de la seguridad cibernética, introduciendo métodos sofisticados para que los ciberdelincuentes los exploten, como algoritmos de aprendizaje automático diseñados para descubrir y aprovechar fallas de software para ataques cibernéticos más dirigidos y potentes. No obstante, la investigación de Forrester indica que el 90% de los ciberataques seguirán implicando interacción humana, lo que sugiere que los métodos tradicionales como el phishing siguen siendo muy eficaces. Esto subraya la importancia de que las empresas no sólo fortalezcan sus defensas contra tácticas básicas, sino también se mantengan actualizadas sobre cómo los avances de la IA pueden alterar estas estrategias de ataque.
Para mitigar los vectores de ataque comunes, las empresas deben prevenir los intentos de phishing impidiendo en primer lugar que los correos electrónicos maliciosos lleguen a las bandejas de entrada de los usuarios. La implementación de protocolos de autenticación de correo electrónico como SPF, DKIM y DMARC puede reducir significativamente las posibilidades de que los correos electrónicos falsificados penetren las defensas del correo electrónico. Sin embargo, a pesar de estas medidas, persiste la probabilidad de que un intento de phishing acabe rompiendo las barreras de la ciberseguridad, lo que hace que sea primordial cultivar una cultura de seguridad sólida dentro de las organizaciones. Esto implica educar a los empleados no sólo para reconocer las amenazas, sino también para responder correctamente a ellas.
El Informe de investigaciones de vulneración de datos de Verizon de 2023 señala que uno de cada tres empleados podría interactuar con enlaces de phishing y uno de cada ocho podría revelar información personal cuando se le solicite. Esta estadística es un claro recordatorio de la necesidad continua de mejorar las prácticas de ciberseguridad organizacional y enfatiza el papel fundamental que desempeñan los empleados en el ecosistema de ciberseguridad. Aprovechar la tecnología para detectar y neutralizar amenazas de phishing es indispensable, pero no puede funcionar en el vacío. A medida que la IA plantea desafíos cada vez mayores, fomentar una fuerza laboral informada y proactiva se vuelve crucial para interceptar los intentos de phishing que eluden las salvaguardas digitales.
Hemos presentado la mejor VPN empresarial.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
