Proofpoint, líder en ciberseguridad y cumplimiento normativo, advierte que los ciberdelincuentes están aprovechando la Inteligencia Artificial (IA) para desarrollar estafas cada vez más sofisticadas y difíciles de detectar. Las herramientas de IA generativa, capaces de crear contenido altamente realista, están facilitando la suplantación de identidad y la manipulación, lo que constituye un riesgo significativo para usuarios y empresas.
Esta tecnología permite la creación de imágenes, textos, e incluso audios y videos extremadamente convincentes, además de automatizar ciertas técnicas, lo que incrementa las probabilidades de éxito de los ataques. Según los análisis de Proofpoint, la IA generativa está siendo utilizada en cuatro áreas clave de la ingeniería social: estafas conversacionales, deepfakes, ataques BEC (Business Email Compromise) y perfiles automatizados en redes sociales.
Estafas conversacionales convincentes
Los delincuentes recopilan grandes cantidades de texto de redes sociales, aplicaciones de mensajería y otras fuentes para entrenar modelos de Procesamiento del Lenguaje Natural (NLP). Estos modelos aprenden a imitar patrones de lenguaje humano, permitiéndoles generar mensajes de texto que parecen auténticos y que pueden usarse para suplantar identidades, manipular a las víctimas y llevar a cabo estafas personalizadas en plataformas como Instagram, WhatsApp y Tinder.
Contenido manipulado con deepfakes
La IA permite crear deepfakes, videos e imágenes falsos increíblemente realistas que suplantan la identidad de una persona y la representan diciendo o haciendo cosas que nunca han hecho. Los ciberdelincuentes buscan fotografías, grabaciones y audios de la persona a la que quieren imitar y mediante modelos avanzados de machine learning consiguen crear su propio contenido cada vez más verosímil.
Los deepfakes pueden ser una herramienta extremadamente útil para, por ejemplo, suplantar la identidad del hijo o nieto de una persona en un timo telefónico, o para manipular la opinión pública mediante campañas de difamación usando la imagen de personajes públicos.
Ataques personalizados de Business Email Compromise (BEC)
En el informe State of the Phish 2024 de Proofpoint se indica la utilidad de la IA generativa para ejecutar ataques BEC en países como Japón, Corea o los Emiratos Árabes Unidos, que antes eran evitados por sus barreras lingüísticas, diferencias culturales o falta de visibilidad. Sin embargo, gracias a la IA, los ciberdelincuentes pueden ahora escribir prácticamente en cualquier idioma, mejorar la calidad de los mensajes y actuar de una forma mucho más rápida.
En estas estafas dirigidas a empresas suelen utilizarse técnicas de suplantación de identidad: los ciberdelincuentes se hacen pasar por personas de confianza para los empleados, como un directivo, y les engañan para transferir dinero o divulgar información confidencial.
La IA generativa aprende patrones del contenido creado por las personas, lo que le permite construir mensajes de ingeniería social personalizados y muy convincentes. De esta forma, pueden imitar el estilo, tono y firma de la persona o empresa suplantada, y automatizar su adaptación a los diferentes destinatarios objetivo.
Perfiles y publicaciones falsas automatizadas
Los ciberdelincuentes también pueden utilizar la IA para crear identidades falsas y generar contenido en redes sociales y plataformas de noticias. Esta tecnología puede imitar el estilo y tono de las fuentes de noticias fiables para crear nuevos artículos, traducir y localizar texto en varios idiomas, y ocuparse de tareas repetitivas, como responder mensajes o comentar. A gran escala, podrían incluso difundir bulos e influir en los debates online.
Además, los estafadores pueden crear perfiles en plataformas como Facebook, Instagram, foros y aplicaciones de citas para establecer relaciones con sus objetivos y aprovecharse de su confianza. Simplemente procesando los datos de una conversación pueden crear con IA respuestas convincentes.