Con el avance de la inteligencia artificial, los ciberdelincuentes pueden analizar rápidamente datos en línea, creando sofisticadas estrategias de phishing que engañan incluso a los sistemas de seguridad más avanzados.
Celebramos el hecho de que la inteligencia artificial esté transformando muchas industrias, pero no todas las industrias afectadas son legales en la misma medida: también ha servido para armar a los ciberdelincuentes con herramientas más sofisticadas para llevar a cabo estafas de phishing.
Según expertos en ciberseguridad e informes recientes de empresas como el gigante del comercio electrónico eBay o la multinacional de seguros Beazley, comenzó a proliferar Estafas de phishing ultrasofisticadas y personalizadas basadas en IA, lo que plantea un gran desafío ya que los usuarios siguen cayendo en campañas de phishing mucho menos elaboradas.
El impacto de la inteligencia artificial en el phishing
La IA permite a los piratas informáticos, al analizar rápidamente grandes cantidades de datos sobre un individuo o una empresa, replicar su estilo y tono para crear correos electrónicos convincentes que son difíciles de detectar como fraudulentos. Según Kirsty Kelly, directora de seguridad de la información de Beazley:
“Está empeorando cada vez más y se está volviendo más personalizado. Por lo tanto, sospechamos que la IA está en gran medida detrás de esto”.
- Porque los científicos dicen que encontrar vida extraterrestre es ahora "sólo una cuestión de tiempo"
- Toyota invierte 61 mil millones de reales en la “Ciudad del Futuro” al pie del Monte Fuji y busca residentes para probar nuevas tecnologías revolucionarias en un proyecto que promete cambiar el mundo.
- Científicos estadounidenses crean el material de protección más fuerte jamás creado con 100 billones de enlaces
- Bracell emplea tecnología de punta para combatir incendios forestales y proteger el medio ambiente
Esta personalización extrema se logra analizando los perfiles en línea y la actividad en las redes sociales, lo que también permite a los atacantes identificar qué temas pueden atraer o convencer a las víctimas. Por ejemplo, un ejecutivo podría recibir un correo electrónico aparentemente legítimo relacionado con un proyecto reciente mencionado en LinkedIn.
La empresa de ciberseguridad Kip Meintzer Tecnología de software de Check Point., afirmó durante una reciente conferencia de inversores que la IA ha dado a los piratas informáticos "la capacidad de escribir un correo electrónico de phishing perfecto".
Estas tácticas hiperpersonalizadas aumentan significativamente la probabilidad de que los ataques tengan éxito.
Ventajas de la inteligencia artificial para los ciberdelincuentes
Nadezda Demidova, investigadora de ciberseguridad de eBay, explicó que la disponibilidad de herramientas de inteligencia artificial generativa ha reducido significativamente las barreras de entrada del ciberdelito (es decir, ya no es necesario ser un experto en tecnología para lanzar campañas de ciberestafa).
Estas herramientas no sólo le permiten crear correos electrónicos convincentes, sino también adaptarlos rápidamente para evitar los filtros de seguridad corporativos.
Además, la IA puede escanear códigos y analizar procesos humanos para identificar vulnerabilidades, según Sean Joyce, líder global de ciberseguridad de PwC. Esto hace que incluso las empresas con sistemas de defensa sofisticados sean vulnerables a ataques dirigidos.
El alcance de las estafas y su impacto financiero
Más del 90% de los ciberataques exitosos comienzan con un ataque de phishing por correo electrónico, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). Este método de ataque no sólo es eficaz, sino también muy costoso para las víctimas, especialmente cuando se trata de empresas.
Un tipo específico de ataque que ha ganado relevancia se conoce como 'BEC', en el que los estafadores engañan a los destinatarios (haciéndose pasar por un ejecutivo o proveedor) para que transfieran fondos o compartan información confidencial sin utilizar malware.
Según el FBI, este tipo de fraude ha generado pérdidas de más de 50 mil millones de dólares en todo el mundo desde 2013.
¿Qué pueden hacer las empresas y los usuarios?
Ante este escenario, tanto empresas como particulares deben adoptar estrategias más proactivas para mitigar el riesgo de ataques de phishing impulsados por inteligencia artificial:
Educación continua: La formación en ciberseguridad debe evolucionar para incluir ejemplos de correos electrónicos hiperpersonalizados y otras estrategias emergentes impulsadas por la inteligencia artificial.
Inversiones en tecnología: Las organizaciones necesitan implementar sistemas de detección basados en inteligencia artificial que puedan identificar patrones anómalos en los correos electrónicos, incluso cuando parecen muy personalizados.
Supervisión constante de perfiles online: Reducir la cantidad de información personal disponible públicamente puede dificultar que los atacantes recopilen datos relevantes para sus estafas.