Los ciberdelincuentes están usando inteligencia artificial (IA) para hacer sus estafas más convincentes y engañar a trabajadores y empresas. Desde correos de phishing personalizados hasta vídeos deepfake para suplantar la identidad de jefes y directivos, los ataques de los timadores se están volviendo más efectivos gracias al uso de esta tecnología.
Según los expertos consultados, para protegerse de este tipo de fraudes, las empresas deben apostar por la formación del personal y el uso de soluciones tecnológicas (que también pueden incorporar IA) para detectar riesgos. En este artículo repasamos algunas de las técnicas que están usando los cibercriminales para estafar a compañías con la ayuda de inteligencia artificial y recogemos consejos para evitar este tipo de ataques.
A un clic, ¿de qué hablamos en este tema? Pincha para ampliar
Ataques de phishing personalizados y perfeccionados
La IA se está empleando para mejorar la calidad y efectividad de los ataques de phishing, correos electrónicos fraudulentos en los que se suplanta la identidad de una persona, compañía o entidad. Miguel López, director para el Sur de EMEA en la compañía de ciberseguridad Barracuda Networks, explica que hay herramientas de IA que pueden ayudar a los ciberdelincuentes a traducir el texto de un email a cualquier idioma de forma muy natural y sin errores. “Tengamos en cuenta que, tradicionalmente, los errores gramaticales y ortográficos o las frases poco naturales eran una buena forma de identificar estos ataques”, señala.
Sin embargo, hoy en día, los correos escritos con la ayuda de modelos de lenguaje son “hiperrealistas”, personalizados y pueden “imitar a la perfección el tono de un proveedor o cliente habitual”, según apunta Diego León Casas, CEO de la compañía de ciberseguridad Flameera. El experto afirma que el objetivo de estos ataques sigue siendo el mismo: engañar a los empleados y conseguir que revelen información sensible de la empresa o autoricen transferencias bancarias.
Audios y vídeos manipulados con IA para suplantar a jefes
Con la ayuda de inteligencia artificial se pueden generar audios sintéticos y clonar la voz de directivos, jefes o socios en clips de audio o de vídeo. También se pueden generar deepfakes, vídeos hiperrealistas en los que se ha alterado o sustituido la cara, cuerpo o voz de una persona, para hacerla decir o hacer algo que, en realidad, no ha hecho.
Por ejemplo, en Hong Kong un empleado fue engañado para realizar una transferencia de 24 millones de euros a través de una videollamada en la que le hicieron creer que hablaba con el director financiero de la empresa. “La realidad es que esa ‘reunión’ estaba completamente generada con IA”, explica León. Según el experto, para clonar una voz con fidelidad sólo se necesita como referencia una grabación corta, algo que es “fácilmente conseguible en perfiles de alto nivel por su participación en entrevistas televisadas, de radio o podcast”.
La compañía de ciberseguridad ESET también indica que los clips de audio y vídeo manipulados se están utilizando para amplificar el fraude del email corporativo comprometido o fraude BEC (por su nombre en inglés “Business Email Compromise”). La finalidad es engañar a los trabajadores financieros para que transfieran fondos corporativos a cuentas bajo el control de los ciberdelincuentes.
Desarrollo de malware
Las herramientas de inteligencia artificial pueden facilitar el desarrollo de código malicioso a los cibercriminales. “La IA es muy efectiva a la hora de elaborar u optimizar código, así como detectar fallos de programación. Si orientamos estas capacidades a la elaboración de malware o a la detección de vulnerabilidades de software, como ya está empezando a ocurrir, veremos que la IA puede convertirse fácilmente en la mejor aliada del cibercrimen”, advierte Miguel López.
León, por su parte, explica que los modelos de IA suelen incluir limitaciones éticas que impiden un uso malicioso. Por ejemplo, si le pedimos a ChatGPT que nos ayude a desarrollar un virus para hacernos con datos bancarios, se niega a cumplir con nuestra petición y nos avisa de que estaríamos cometiendo una actividad ilegal. No obstante, según el experto, “hay modelos a los se les han eliminado dichas limitaciones para poder desarrollar software malicioso y otro tipo de actividades delictivas”.
Uso de bots de ingeniería social
Los ciberdelincuentes también están utilizando bots con IA para automatizar sus respuestas en WhatsApp o Telegram. Un ejemplo del uso de estos bots son las falsas ofertas de trabajo que llegan a través de grupos de WhatsApp. Los timadores te incluyen en un grupo con otros contactos desconocidos para ofrecerte un supuesto empleo con una empresa reconocida. Sin embargo, los supuestos administradores del grupo son bots que lanzan respuestas automáticas. “Al final, se trata de rentabilizar al máximo los recursos y el uso de bots con inteligencia artificial hace que puedan llegar a más víctimas potenciales”, explicó a Maldita.es Josep Albors, responsable de Investigación y Concienciación de ESET España.
“Cada vez más empresas usan programas capaces de mantener conversaciones por chat o mensajería para dar servicio a sus clientes. Los criminales están haciendo lo mismo, pero con instrucciones dirigidas al fraude, al robo de credenciales y otras actividades delictivas”, afirma por su parte León.
Creación de identidades sintéticas para superar controles de verificación de identidad
Los ciberdelincuentes pueden emplear IA para generar identidades sintéticas, esto es, una identidad que ha sido construida con datos reales (como el nombre o la fecha de nacimiento de una persona) y otros inventados o manipulados, como una imagen generada con IA o un documento falsificado. El objetivo de estas identidades sintéticas suele ser cometer fraudes financieros, como abrir cuentas bancarias, pedir créditos o acceder a servicios de forma fraudulenta, según explican a Maldita.es desde Veridas, empresa que desarrolla soluciones de identidad digital.
La compañía explica que este fraude se puede cometer de distintos modos, entre ellos, con un ataque de inyección. El ciberdelincuente puede inyectar directamente datos manipulados o generados con IA dentro del sistema en el que se quiere identificar.
“El sistema, en lugar de ‘ver’ a alguien en directo, recibe vídeos, audios o documentos falsos como si fueran reales. Y lo más peligroso es que este proceso se puede automatizar y ejecutar a gran escala”, advierten.
Infiltración de falsos empleados en la empresa
A partir de documentación falsificada, como facturas, contratos o documentos de identidad falsos, los cibercriminales podrían incluso infiltrarse en procesos de selección o suplantar a proveedores, según afirma León. Por ejemplo, empresas de todo el mundo han sido víctimas de falsos trabajadores norcoreanos que han usado IA para crear currículums falsos, manipular imágenes y superar verificaciones de identidad. “El objetivo final es ganar dinero para enviarlo al gobierno de Corea del Norte, así como el robo de datos, el espionaje e incluso el ransomware”, señala ESET.
Consejos para prevenir este tipo de ataques
León indica que, aunque muchos de estos ataques parecen muy sofisticados, existen medidas simples y efectivas que se pueden implementar en una empresa para ayudar a prevenirlos:
Cultura de verificación: ante cualquier solicitud inusual, especialmente si implica un pago o el acceso a datos o sistemas sensibles, debe confirmarse la operación por un segundo canal. Por ejemplo, a través de una llamada telefónica a un número de teléfono conocido.
Limitar los privilegios: es recomendable evitar que una sola persona pueda ejecutar operaciones críticas sin supervisión. Establecer revisiones o aprobaciones dobles en procesos añade una capa extra de seguridad.
Usar autenticación multifactor (MFA): usar más de un factor de autenticación (cómo un código que llega al teléfono) para acceder a cuentas importantes puede frenar un intento de acceso de los estafadores.
Concienciación del personal: es aconsejable formar a los empleados, especialmente a los de áreas como finanzas, recursos humanos o administración de sistemas, para que identifiquen estos fraudes. El Instituto Nacional de Ciberseguridad (INCIBE) ofrece recursos gratuitos a este respecto.
Contar con un protocolo de actuación: es conveniente saber cómo responder ante una sospecha de fraude y cómo se reporta, a quién se informa y qué pasos seguir.
A todo esto se le añade el uso de herramientas tecnológicas. “A día de hoy es imprescindible dotarse de barreras de seguridad que cuenten así mismo con inteligencia artificial”, asegura López. Según el experto, es clave el uso de soluciones de detección y respuesta extendida ante ataques (XDR, por su siglas en inglés). Esto es, una serie de soluciones capaces de monitorizar lo que sucede en toda una red y que hace uso de inteligencia tanto artificial como humana. “Son capaces de agregar y filtrar toda la información, eliminando falsos positivos y permitiendo sacar conclusiones. En caso de ataque, también pueden apoyar al cliente”, explica.
