Creada con herramienta de IA.
Es mención obligatoria en las publicaciones para educar en el manejo seguro de las TIC, la evolución que tienen las estafas digitales. En ellas el uso de los códigos malignos, la ingeniería social, la automatización y la inteligencia artificial (IA) constituyen los mecanismos a los que recurren los ciberdelincuentes para el robo sigiloso de datos.
Los códigos maliciosos de “ultima generación” están diseñados para la evasión de la actividad de detección de los programas antivirus y actuar de forma cada vez más velada.
En este sentido troyanos bancarios como Emotet o TrickBot se enmascaran como archivos legítimos en formato PDF o Word para instalarse mediante las “descargas drive-by” (el usuario descarga sin saber desde un enlace comprometido) o los adjuntos maliciosos para robar credenciales mediante el uso de keyloggers o la inyección de formularios falsos en páginas bancarias o de instituciones legítimas.
El uso del Ransomware-as-a-Service (RaaS) que es un tipo de modelo de negocio digital en el que los creadores de este tipo de programa maligno lo ofertan a otros ciberdelincuentes a cambio de una tajada en el negocio. Con este mecanismo se realiza un cifrado silencioso acompañado de la exfiltración de datos antes de que se produzca la solicitud del rescate. Un ejemplo de esta modalidad es el LockBit que automatiza la infección y negociación con víctimas.
Es importante significar que este mecanismo está relacionado con un modelo con una sigla similar RaaS, pero que se refiere a Robotic as a Service, que es un modelo de negocio donde se ofertan los robots y sus capacidades como servicio bajo demanda, al parecer la idea del modelo se utiliza para la inoculación del ransomware.
En el acápite de los programas malignos se encuentran también los llamados “malware sin archivo o fileless, mediante los que se ejecuta el script en memoria sin que quede vestigio de ello en el disco, para esto se aprovecha el uso de herramientas legítimas como PowerShell o WMI (Instrumental de administración de Windows).
En el arsenal de las estafas digitales no falta una vieja conocida, la ingeniería social, ahora con ataques personalizados que utilizan la automatización para lograr mayor credibilidad y añadiendo el uso del OSINT (Open Source Inteligence).
En este campo se muestran también los phishing hiperdirigidos (spear phishing) que parten de una investigación de las víctimas en las redes sociales para crear mensajes que se acerquen a la realidad por su personalización. Las fuentes de esta información está en las publicaciones que hacen los mismos usuarios o sus familiares y amigos.
En este caso son comunes los mensajes que solicitan transferir fondos, cuyos datos hacen que parezcan verídicos.
Partiendo de la ingeniería social se utiliza la técnica de comprometer mensajes empresariales para lo que se acude al uso de dominios falsificados cuya grafía es muy parecida al del legítimo. Por ejemplo cambian un “1” (uno) por una “l” (ele) o la vocal “o” por un 0 (cero).
También se automatiza el monitoreo de conversaciones con la finalidad de intervenir en momentos claves como es el caso de la facturación de mercancías.
Son utilizadas además herramientas de inteligencia artificial para la clonación de voces o vídeos falsos, haciéndose pasar por personal de soporte técnico.
La automatización permite a los atacantes la creación de bots y herramientas para ampliar el radio de acción de sus ataques, generando así mayor escalabilidad.
Son comunes los clones de páginas donde los usuarios introducen sus credenciales para automatizar el robo de estos datos y de las cookies de sesión.
No faltan en la automática las redes de dispositivos infectados que envían correo no deseado o códigos maliciosos conocidos como botnets de distribución.
De manera especial la irrupción de la IA entra al ruedo con la creación de chatbots maliciosos que redactan mensajes muy convincentes, que incluso, carecen de errores gramaticales y ortográficos. También se generan scripts en Python o con PowerShell para escanear redes internas a partir del compromiso de un activo de red.
Otra cuestión esencial es el uso de técnicas evasivas para evitar la detección. Con el uso de herramientas legítimas del sistema como el Cobal Strike permite los movimientos laterales que lo pueden tornar invisibles.
El cifrado de datos exfiltrados se añade a través del uso de protocolos comunes para enmascarar el tráfico, se ha llegado a utilizar el HTTPS y junto a este mecanismo, la extracción de datos en pequeñas cantidades y poco a poco, lo de se conoce como “low and slow”, así se evita que se disparen las alarmas de los sensores de los IDS e IPS (detección y prevención de intrusiones).
Ante la realidad, la prevención es esencial. En este sentido, la capacitación en el manejo seguro de las TIC sigue marcando la ruta para los usuarios. De esta manera, se evita caer en los llamados clicks sospechosos que abundan hoy en las redes y la mensajería.
Desde el punto de vista técnico la seguridad multicapa y la segmentación de redes son vitales junto al monitoreo proactivo de comportamientos anómalos de usuarios relacionados con el acceso a datos y el uso de horarios inusuales.
No es ocioso reiterar que el cibercrimen se mantiene creando con mucha inteligencia y recursos y que el enfrentamiento no puede ser reactivo, pues no siempre se cuenta con los recursos. Por ello, la posición de orden es la prevención.