En la actualidad, no hace falta ser un experto de las ciencias informáticas para notar que la ciberseguridad está cambiando a un ritmo acelerado. Hace un tiempo detectar un correo fraudulento era relativamente fácil por sus faltas de ortografía o su formato extraño, pero en la actualidad, el panorama es muy diferente.
La irrupción en la vida cotidiana de la transformación digital y la inteligencia artificial (IA) que tantos beneficios aportan a la sociedad, llegan a los tentáculos de las redes de ciberdelincuentes y les permiten crear una nueva generación de ataques que incluyen el phishing. El impulso de la IA obliga a profundizar en esta temática para no caer en las trampas que se tienden adoptando nuevas máscaras.
Durante años, se ha llamado la atención para desconfiar de lo que resulta «demasiado perfecto» o para enfrentar las acciones con fines malignos. Siempre se busca el error humano en el ataque para garantizar la certeza de que se está en presencia de una agresión. Sin embargo, el arribo de las herramientas de IA generativa, donde destacan los chatbots o los generadores de voz, han generado nuevos inconvenientes para el reconocimiento de las incursiones de los ciberdelinciuentes. Ahora, los agresores pueden crear campañas de fraude con una precisión, velocidad y escala que antes eran impensables hace apenas unos meses.
La peligrosidad de esta nueva modalidad del phishing se sustenta en sus características que insertan diferencias respecto a las prácticas anteriores.
La diferencia esencial no está en el qué piden, sino cómo lo hacen. Mantienen su objetivo, robar claves o datos bancarios, solo que han borrado de un plumazo con la ayuda de la IA, los «signos de alerta» tradicionales.
Para lograr su objetivo, se sustentan en tres cuestiones que se consideran esenciales:
1. Perfeccionamiento del lenguaje para garantizar la “personalización pasiva”. Antes un correo de phishing estaba plagado de errores gramaticales evidentes o sonaba a robot. Con el concurso de la IA los ciberdelincuentes pueden redactar una nota que imita la perfección y el tono de una institución, pero que además pueden utilizar datos públicos de las redes sociales para generar un texto personalizado que puede ganar la confianza de la víctima mediante lo que se conoce como “empatía” artificial.
2. La IA pone fin también a las “faltas de ortografía” al ser un corrector impecable. De esta manera, se pierde el indicio de que algo raro ocurría en la comunicación. Los correos fraudulentos actuales tienen una redacción literaria y profesional, con un estilo educado, con lo que se logra burlar los filtros de SPAM y confundir la visión crítica de cualquier persona.
3. El aspecto que tal vez incida de manera más notable es la ingeniería social hiperrealista, ya no se habla solo de texto, también se logra la clonación de voces con solo unos segundos de audio, esto se conoce como deepfakes de audio. También se puede generar imágenes falsas muy convincentes. Es solo imaginar la recepción de una llamada telefónica con la voz y tono habitual de un directivo, que orienta una transferencia monetaria urgente. Este tipo de escenario ya es una realidad, y se conoce como vishing (phishing de voz) potenciado por IA.
En estas nuevas condiciones, la tendencia es a alejarse de los viejos trucos como es el caso del uso de códigos malignos.
Una forma común es la suplantación de la identidad de directivos con altos cargos para enviar correos desarrollados por la IA que analiza la forma de redactar del directivo para crear el correo fraudulento sobre un supuesto tema “confidencial” con redacción impecable y urgencia que simula ser real.
También se utiliza el soporte técnico falso a través del uso de chatbots automatizados que a través de la IA logran convencer a la víctima y guiarla para que cumpla el objetivo trazado de antemano por el ciberdelincuente. Todo se desarrolla mediante una conversación fluida y natural.
Otra variante es el enlace generado al momento. En lugar de enviar un enlace malicioso fijo, los atacantes usan sistemas automatizados que generan una página web falsa al momento, idéntica a la de la institución que suplantan, se adapta el diseño en tiempo real.
Ante este escenario solo queda desarrollar una postura preventiva que escale a partir de nuevos conocimientos. Hoy, ante el impacto de la IA, no basta con tener un antivirus actualizado. El factor humano sigue siendo la última barrera de defensa, y debe reforzarse con un cambio de mentalidad.
En estas condiciones es necesario desarrollar una postura preventiva eficaz que parta de la confianza cero y la verificación de la autoridad.
Esta es una regla de oro. Se desconfía, aunque parezca conocido. Si un directivo solicita algo a través de un correo o mensaje, se debe poner pausa y utilizar un canal diferente para verificar. Se puede hacer una llamada real (a un número conocido, no al que envió el chat) o preguntar directamente en la oficina. La verificación multifactorial en la comunicación humana es, en la actualidad, una obligación.
La observación del contexto, no se circunscribe a la ortografía. La búsqueda de fallas ortográficas deja de ser lo esencial, en su lugar lo normal preguntarse por qué se utiliza esa vía para el contacto y por qué hay urgencia en el pedido. La perfección de la IA en la escritura existe, pero no conoce la lógica real de las relaciones personales y profesionales, a menos que se roben datos.
La protección de la información personal es esencial ante los ciberdelincuentes que se alimentan de los datos que se comparten en las redes sociales. Mientras mayor es la información que se publica sobre la vida laboral o personal, más combustible tendrá el phishing para lograr su objetivo. Revisar la privacidad de nuestras redes sociales es una medida de seguridad elemental y crítica.
Es esencial en el proceso la formación continua para estar informado sobre los caminos hacia donde marchan los ataques de la ciberdelincuencia que se apoya en el uso de la IA. En este sentido sin el concurso consciente de las personas no se pueden obtener resultados en esta lucha ante los ataques.
Se puede resumir que la IA ha democratizado el cibercrimen, tornándolo más sofisticado y difícil de detectar. Sin embargo, la tecnología no lo puede todo. La IA puede imitar la voz o la escritura, pero no puede reemplazar el sentido común de una persona consciente de los riesgos.
La prevención ya no consiste en buscar errores en el correo, sino en confirmar la realidad detrás de la pantalla. Mantenerse tranquilo, verificar las fuentes y no dejarse llevar por la urgencia artificial son nuestras mejores armas en esta nueva etapa del desarrollo de las TIC.