Los ataques de ingeniería social son una amenaza para empresas y particulares de todo el mundo. El modus operandi de estos ataques es bien conocido: los perpetradores intentan engañar a las personas para que faciliten información confidencial, o realicen acciones que puedan comprometer su seguridad.
En este sentido, el auge de la inteligencia artificial (IA) ha hecho que los ataques de ingeniería social sean más complejos y difíciles de detectar.
¿Cómo ha agravado la IA el problema de la ingeniería social?
La combinación de los algoritmos de aprendizaje profundo de la IA y las capacidades avanzadas de procesamiento, ha proporcionado a los ciberdelincuentes nuevas herramientas para desarrollar ataques complejos.
Aunque gracias a los kits de phishing los villanos tienen ciertas facilidades para consumar sus fechorías, estas estrategias, no dejan de estar diseñadas por humanos, pero ahora, gracias a la IA, están cada vez más automatizadas.
Si bien esta automatización, no hace que el ataque tenga que ser necesariamente más efectivo, sí que sirve para hacerlo llegar a un número más elevado de personas dedicando menos tiempo, recursos y esfuerzo.
Por otro lado, las aplicaciones de inteligencia artificial, pueden hacer más creíbles los pretextos, con los cuales se pretende confundir a las futuras víctimas.
Phishing más personalizado
Generalmente, los ataques de phishing priorizan la cantidad sobre la calidad e implican mensajes genéricos enviados al mayor número de personas posible.
Algo parecido a tirar un anzuelo y esperar a ver que pica, sin importar el tipo de pez.
Pero la IA puede ayudar a generar correos electrónicos de phishing personalizados, con nombres, logotipos y mensajes que parecen proceder de entidades en las que el usuario confía.
Eso ya pasaba antes de la aparición de la inteligencia artificial.
Pero estos mensajes ahora están mejor diseñados, lo que hace más difícil distinguirlos de los legítimos.
Generación de lenguaje natural
Una de las maneras de detectar un mensaje fraudulento era por su pésima redacción junto con errores gramaticales y ortográficos.
Pero si se alimenta a la bestia con los datos correctos, la IA puede generar con facilidad escritura y diálogos coherentes, similares a los que utilizamos los seres humanos en diferentes situaciones.
Esto permite a los atacantes crear contenido bastante persuasivo y en casi cualquier idioma, lo que ayuda a superar las reticencias iniciales de los destinatarios.
Manipulación emocional
Seguramente, debido a una aplicación muy popular conocida como ChatGPT, ya sepas de la existencia de la IA generativa.
Esta tecnología se puede alimentar mediante datos recopilados de una multitud de fuentes:
- Datos de voz a partir de llamadas, videos y otras fuentes similares, con el fin de imitar cierto tono de voz, acento, etc.
- Expresiones faciales obtenidas mediante métodos como la captura de grabaciones de vídeo.
- Los desencadenantes emocionales más comunes (ansiedad, miedo, urgencia, necesidad, etc.) que pueden hacer reaccionar a una persona.
Todo eso, metido en una coctelera, y debidamente mezclado, puede hacer que las tácticas de engaño sean más efectivas.
Reconocimiento
La IA puede recopilar inteligencia sobre los objetivos, mediante el raspado de datos procedentes de redes sociales, sitios de marketing, registros públicos, información corporativa, etc.
Esta información se convierte en una poderosa arma para crear perfiles bastante exactos, con el fin de atraer a una audiencia específica.
Difuminar en gran medida la línea entre la realidad y los datos fabricados.
Los bots impulsados por IA infestan las diferentes plataformas de internet utilizando un lenguaje convincente y «deepfakes» para engañar a las personas.
No es la primera vez que alguien a capturado imágenes de una película porno, y mediante inteligencia artificial, ha reemplazado los rostros de los actores y actrices por los de personas famosas.
¿Cómo nos puede afectar la ingeniería social impulsada por la IA?
La aparición de estas herramientas ha proporcionado a los villanos más munición para crear modelos de ingeniería social dirigidos a objetivos en concreto, y a gran escala.
La IA, también ha propiciado que perpetrar una campaña de este tipo, sea más rápido, fácil y barato.
- Los correos electrónicos de phishing altamente personalizados, y con un texto convincente generado por IA, pueden engañar a las personas para que interactúen con ellos.
- Los deepfakes generados por IA, (vídeos, imágenes y grabaciones de voz), permiten a los atacantes hacerse pasar por quien haga falta.
- Al analizar y procesar grandes cantidades de datos, la IA puede «afinar» la información para crear un discurso atractivo dirigido a audiencias específicas.
- La capacidad de la IA para reconocer patrones puede revelar vulnerabilidades del sistema que antes pasaban desapercibidos.
Estas son solo algunos de los talentos con los que cuenta esta tecnología para intentar engañar a las personas y a las empresas.
Para gestionar esta amenaza, no nos queda más remedio que estar al tanto de la evolución de la inteligencia artificial, y de su empleo para hacer el mal.
En cualquier caso, no debemos olvidar que tanto las diferentes cepas de malware, como los distintos tipos de ataques de ingeniería social, deben gestionarse, como hacemos siempre.
No importa las herramientas o métodos utilizados para perpetrarlos: un correo de phishing sigue siendo un correo de phising, y un troyano continúa actuando como un troyano.
