La era de los ciberataques se ha actualizado y emplea la inteligencia artificial para automatizar y optimizar las diferentes etapas de una amenaza, desde la identificación de vulnerabilidades hasta la exfiltración de datos. Todo ello, con mayor sofisticación, velocidad y poder de impacto.
Una de las estrategias más comunes es la fusión de IA y el phishing, pues los estafadores buscan inducir a las personas a que revelen datos confidenciales. Para conseguir que las víctimas cliquen en el enlace, bastará con alertarles de una falsa actualización del sistema.
Tomando como referencia un informe del Centro de Denuncias de Delitos en Internet (IC3) del FBI, en el último mes de 2022 se recibieron 800.944 denuncias de phishing, lo que implica pérdidas superiores a 10.300 millones de dólares. Y es que el phishing por email es una preocupación clave para el 90% de los profesionales de TI.
Otro análisis exhaustivo formulado por IBM en 2023 concluyó que el 16% de las violaciones de datos de empresas fueron como consecuencia directa de un ataque de phishing. Todo ello demuestra que se ha convertido en una de las mayores preocupaciones en materia de seguridad cibernética.
La IA como simulación de actualizaciones
Uno de los fraudes por correo electrónico más repetido son las supuestas actualizaciones de aplicaciones para el ordenador, dirigidas especialmente a un grupo de usuarios de una misma empresa. Se insta al receptor a hacer clic en un enlace para obtener una versión actualizada de un programa, en un plazo máximo de 24h.
Se ejerce mayor presión a los destinatarios al informarles que si se ese correo electrónico se ignora habrá consecuencias negativas, como la suspensión de su cuenta de correo electrónico laboral. Además, como ventajas, se les asegura la posibilidad de acceder a documentos o conectar dispositivos móviles a distancia.
Sin ir más lejos, un estudio realizado por la unidad de investigación de SILIKN, concluye que el 84% de los incidentes de seguridad en México implican engaños a empleados por phishing. Se les induce, con frecuencia, a descargar actualizaciones fraudulentas mediante sus navegadores web.
El usuario tiende a considerar un correo electrónico como potencialmente legítimo. Y es que esto sucede siempre y cuando se haga referencia a una marca conocida o que su empresa tendrá métodos eficientes para bloquear cualquier email sospechoso.
Las claves de este ataque
Conocido como Drive-by Compromise, o en resumen, descarga silenciosa o ataque sin clics, implica que se produzca desde un sitio web comprometido, sin interacción del usuario. En todo momento, se busca infectar los dispositivos de los usuarios, sin que estos interactuasen activamente con ninguna descarga o enlace malicioso.
La participación del usuario se convierte en necesaria para que se efectúe el ataque en su integridad, permitiendo el acceso inicial en el 92% de los casos. Gracias a la inteligencia artificial se pueden agilizar los ataques y captar una atención considerable entre los principales grupos de cibercriminales, que muestran gran interés para que la tecnología sea una herramienta a su servicio.
En la Dark Web y foros clandestinos existen áreas especializadas en IA y aprendizaje automático, destacando herramientas como WormGPT o FraudGPT ideales para el diseño de malware y la realización de ataques de denegación de servicio distribuido (DDoS).
Ambos modelos se presentan como una IA eficaz capaz de: escribir código malicioso, crear malware indetectable, herramientas de hacking, webs fraudulentas para phishing, encontrar vulnerabilidades, ayudar a encontrar objetivos y aprender a hackear, entre otros propósitos
No es un ataque perfecto, aunque sí efectivo
Los ciberdelincuentes trabajan el fraude de las actualizaciones de aplicaciones siguiendo tácticas de ingeniería social propias del phishing. De este modo, se recalca la urgencia de que se haga clic en el enlace al momento, amenazando al usuario con consecuencias negativas.
Es muy importante fijarse en el asunto del correo electrónico. Si se menciona una versión de un programa de aplicaciones en concreto, es importante cerciorarse de que realmente existe y no es un nombre ficticio. No obstante, los ciberdelincuentes suelen emplear marcas reconocidas como Microsoft (Office y OneDrive), Google, Adobe o DocuSign.
De igual modo, los correos electrónicos de phishing suelen presentar un hándicap: el mensaje está mal redactado y con erratas. Incluso, los atacantes suelen provocar un efecto que al pasar el cursor del ratón por encima de la URL maliciosa, se ve que esta empieza por ‘https’, algo propio de sitios seguros por utilizar certificados SSL.
Avances en IA para ciberamenazas
Los ciberdelincuentes abogan por implementar la IA no solo como herramienta de phishing, alertando de una falsa actualización, sino también para mejorar las técnicas de deepfakes en videollamadas. Así es cómo se ha generado un aumento de delitos cibernéticos, automatizando fases de sus ataques para aprovechar diferentes vulnerabilidades.
Para las empresas implica una alarma real, es decir, un cambio significativo en sus capacidades de defensa. Hay que tener en cuenta que llega a los receptores como un aviso de actualización, una sugerencia que es capaz de aportar bondades al usuario y al conjunto de la empresa, por lo que resulta difícil eludir su poder de influencia.
La defensa más eficaz
Los equipos de defensa de las empresas, independientemente de su envergadura, deben trabajar por ser más flexibles, empleando la IA y la automatización para adaptarse a las últimas tácticas de ataque. El tiempo es un factor crítico contra riesgos, siendo necesario aumentar la visibilidad en sus redes, más allá del endpoint. De este modo, se aprovechará al máximo la IA y la automatización para comprender y utilizar eficazmente los datos y suministrar a sus equipos la información más actualizada sobre amenazas.
Así pues, se espera que en un plazo de dos a tres años, la ciberseguridad experimentará una gran transformación como consecuencia de la IA y de nuevos modelos con intenciones maliciosas. Todo ello como respuesta a la mejora de capacidades de los agentes de amenazas, con formas avanzadas y más ágiles que permiten reducir el tiempo desde la penetración inicial hasta el impacto.
