Cómo hace la IA para que los ataques de phishing sean más peligrosos

Los ataques de phishing se producen cuando los cibercriminales engañan a sus víctimas para que compartan información personal, como contraseñas o números de tarjetas de crédito, haciéndose pasar por alguien que no son. La inteligencia artificial (IA) no ha hecho más que facilitar la labor de los cibercriminales a la hora de llevar a cabo sus ataques de phishing, escribiendo mensajes de phishing mucho más creíbles, imitando las voces de personas, investigando a los objetivos y generando deepfakes. Mediante el uso de IA en este tipo de ataques, los cibercriminales pueden parecer más creíbles y generar más confianza, lo que lleva a un mayor número de víctimas a enviarles información privada o dinero. Según un estudio de 2024 encargado por Keeper^®, los líderes de las TI han observado un aumento del 51 % en los ataques impulsados por la IA.

Siga leyendo para obtener más información sobre cómo los cibercriminales utilizan la IA en los ataques de phishing, ejemplos de cómo se utiliza la IA y cómo puede protegerse contra estos ataques.

Cómo utilizan la IA los cibercriminales para llevar a cabo ataques de phishing

La IA ayuda a los cibercriminales a cometer ataques de phishing más peligrosos tanto contra individuos como contra empresas.

IA para la escritura

Mediante el uso de herramientas de IA generativas, como ChatGPT, los cibercriminales pueden crear mensajes de phishing sin los típicos indicadores de fraude: los errores gramaticales y ortográficos. Para demostrar lo fácil que resulta para los cibercriminales, le pedí a ChatGPT que redactara un correo electrónico de phishing. El contenido que introduje fue eliminado inmediatamente y ChatGPT me comunicó: “Este contenido puede infringir nuestras políticas de uso”. A pesar de esta infracción, ChatGPT no dejó de producir un ejemplo de correo electrónico de phishing. Estos son los resultados de ChatGPT:

Observe que, a diferencia de los correos electrónicos de phishing típicos, este mensaje no contiene errores gramaticales ni de ortografía. Los cibercriminales que utilizan herramientas de IA generativas, como ChatGPT, no necesitan pensar en cómo formular sus demandas de información. ChatGPT se ocupó de utilizar un lenguaje de urgencia, de insertar un enlace de phishing para el cibercriminal e incluso de amenazar con suspender la cuenta del destinatario de no seguir sus instrucciones.

IA de investigación

La IA generativa también puede ayudar a los cibercriminales a investigar a sus objetivos. A principios de este año, el FBI emitió una advertencia tanto para empresas como para particulares sobre la posibilidad de recibir mensajes más personalizados que los cibercriminales crean gracias a la inteligencia artificial. Investigar a sus objetivos les lleva un tiempo a los cibercriminales, pero la IA acelera esta tarea al encargarse de procesar y sintetizar la información sobre su objetivo. Esto permite a los cibercriminales recopilar más información sobre sus objetivos y sus intereses sin tener que dedicar tanto tiempo a una investigación laboriosa.

IA para suplantar identidades

En algunas situaciones, los cibercriminales podrían llegar a utilizar la IA para imitar la forma en que la gente se comunica por escrito en sus correos electrónicos o mensajes de texto, e incluso pueden llegar a utilizar la IA para imitar la voz de la gente. La IA también puede generar contenido visual, como fotos o videos, para hacerse pasar por alguien de confianza para el objetivo. Si ven la foto de perfil o un vídeo que les resulta familiar, es más probable que crean estar enviando su información personal o dinero a alguien que conocen. Sin embargo, los cibercriminales utilizan la IA para generar «deepfakes» o falsificaciones profundas. Hablaremos de ello más adelante.

Ejemplos de ataques de phishing habilitados por la IA

A medida que los ataques de phishing basados en IA se vuelven más comunes, existen varios tipos principales con los que debería tener cuidado. Veamos algunos ejemplos de ataques de phishing habilitados por la IA.

Correos electrónicos y textos de phishing generados por IA

Antes de que la IA se convirtiera en una herramienta útil para los cibercriminales en sus ataques de phishing, estos mensajes de phishing eran fáciles de detectar, ya fueran por correo electrónico o mensaje de texto, pues lo habitual era que mostraran una variedad de errores ortográficos y gramaticales. Por ejemplo, la mayoría de los correos electrónicos de phishing tenían errores tipográficos obvios o construcciones de frases extrañas, como si la persona que escribiera el mensaje no controlara el idioma. Sin embargo, los correos electrónicos y los textos de phishing generados por la IA son mucho más discretos, puesto que la IA no comete ese tipo de errores evidentes.

Por ejemplo, un cibercriminal podría enviar un correo electrónico de phishing, generado por la IA, a un empleado concreto de una gran empresa. El empleado podría haber recibido formación en la detección de correos electrónicos de phishing, cuando contienen signos reveladores evidentes, como los errores tipográficos y los problemas gramaticales. Sin embargo, si el correo electrónico de phishing es lo suficientemente convincente y el cibercriminal se hace pasar por el jefe del empleado, el mensaje podría parecer legítimo para el empleado y podría llegar a compartir su información confidencial por correo electrónico.

Ataques de vishing habilitados por IA

El vishing es un tipo de ataque de phishing que se produce a través de llamadas telefónicas, y se ha vuelto más peligroso debido a las herramientas de inteligencia artificial. En los ataques de vishing típicos, el cibercriminal se hará pasar por una empresa o individuo en el que el objetivo confía, para aumentar las posibilidades de recibir dinero o información. Sin embargo, en los ataques de vishing habilitados por IA, los cibercriminales pueden hacerse pasar por alguien conocido tras analizar voces familiares a partir de grabaciones de vídeo o audio. Una vez la IA haya procesado estas voces, el cibercriminal podría enmascarar su propia voz y hablar como si se tratara del familiar, amigo o jefe del objetivo. La IA, utilizada de esta manera, hace que el ataque de vishing sea mucho más convincente al reconocer el objetivo la voz al otro lado de la línea.

Esto ha sido observado recientemente en las estafas contra abuelos, más avanzadas tecnológicamente, que implican la descarga, por parte de los cibercriminales, de vídeos o grabaciones de audio de los seres queridos de sus objetivos de las redes sociales. Los cibercriminales utilizan la IA para hacerse pasar por la voz de un ser querido, engañando a la persona mayor para que crea que su familiar está en peligro, lo que generalmente se traducirá en el envío de dinero.

Ataques de phishing selectivo basados en IA

Los ataques de phishing selectivo se producen cuando los cibercriminales atacan a una persona u organización concreta, utilizando información previa sobre ellos, como su nombre, dirección de correo electrónico o número de teléfono. Si bien esto puede sonar similar a un ataque de phishing tradicional, el phishing selectivo es un ataque cibernético más personalizado y dirigido que dificulta que un objetivo reconozca que un mensaje forma parte de un ataque de phishing. Los cibercriminales utilizan la IA para sus investigaciones y recopilan toda la información posible sobre sus objetivos, para después utilizar herramientas de IA generativas como ChatGPT para escribir correos electrónicos y textos basados en la información recopilada.

Por ejemplo, pongamos que un cibercriminal quiere atacar a un estudiante universitario que realiza una pasantía en una importante empresa financiera. Para ahorrar tiempo, el cibercriminal utilizará la IA para analizar las redes sociales y otros registros públicos del objetivo. Una vez que la IA haya reunido suficiente información sobre el objetivo y su papel en su organización, el cibercriminal puede introducir esta información en una herramienta de IA generativa y escribir un correo electrónico personalizado haciéndose pasar por el compañero de trabajo o el jefe del objetivo para convencerlo de que comparta información confidencial.

Deepfakes generados por IA

Aunque los deepfakes existen desde hace bastante tiempo, cada vez son más difíciles de detectar debido a los avances en la tecnología de la IA. Los deepfakes son formas de medios audiovisuales, como fotos, grabaciones de audio o vídeos, que alteran el aspecto de una persona para hacerla pasar por otra. Por ejemplo, deepfakes recientes en las redes sociales muestran a celebridades participando en actividades inapropiadas con otras celebridades, o bien con ciudadanos de a pie, cuando esas interacciones nunca han tenido lugar. A menudo se utilizan con intenciones maliciosas, como chantajes o para generar noticias falsas. Los deepfakes generados por IA se están volviendo cada vez más realistas, tanto que incluso las autoridades tienen dificultades para discernir cuando una imagen o un vídeo son falsos. Debido a lo auténticos que estos deepfakes están empezando a parecer, los cibercriminales han empezado a utilizar la IA para llevar a cabo diversos ataques de phishing, porque mucha gente está dispuesta a creer en lo que ve.

Cómo mantenerse protegido contra los ataques de phishing habilitados por IA

A pesar de que los ataques de phishing habilitados por IA se hayan vuelto más frecuentes y perjudiciales, todavía hay formas de protegerse de estos ataques cibernéticos avanzados.

Nunca haga clic en enlaces y archivos adjuntos no solicitados

Para proteger su información privada y sus dispositivos, nunca haga clic en enlaces ni descargue archivos adjuntos de mensajes no solicitados. Si recibe un correo electrónico o un mensaje de texto que le insta a que haga clic en un enlace para verificar la información de su cuenta, lo más probable es que se trate de una estafa. Solo haciendo clic en un enlace de forma despreocupada podría correr el riesgo de que se instale malware en su dispositivo y que sus datos personales sean robados. Para comprobar si un vínculo es seguro, coloque el cursor sobre la URL o copie y pegue el vínculo de forma segura en un comprobador de URL, como el Informe de transparencia de Google.

Lo mismo ocurre con los mensajes no solicitados con archivos adjuntos: no los descargue en su dispositivo. Por ejemplo, si un correo electrónico no solicitado contiene un PDF o una hoja de cálculo para que usted la abra, no se le ocurra hacer clic en ellos, ya que es muy probable que contengn malware. Si hace clic o descarga un archivo adjunto no solicitado, podría dar lugar a una infección de malware que podría poner en peligro sus datos privados, que podrían ser enviados a un cibercriminal y ser vulnerados. Compruebe si los archivos adjuntos son seguros con un software antivirus, compruebe que el remitente es legítimo e ignore los mensajes que su proveedor de correo electrónico haya marcado como spam.

No responda a peticiones no solicitadas de su información personal

Debería ignorar cualquier petición no solicitada por correo electrónico, mensaje de texto o celular que le inste a compartir su información personal. Si recibe una llamada telefónica de un número desconocido que asegura ser una persona o empresa que usted conoce, párese a pensar qué razón podría justificar que le llamen sin avisar para pedirle su información personal antes de responder. A continuación le indicamos algunos tipos comunes de información personal que debe tener cuidado al compartir a través de peticiones no solicitadas:

Tenga cuidado con las ofertas que parecen demasiado buenas para ser verdad

Cuando los cibercriminales utilizan la IA para investigar, les resulta mucho más sencillo descubrir los intereses de sus objetivos. No crea en ninguna oferta que parezca demasiado buena para ser verdad, especialmente si se trata de algo que usted andaba buscando. Por ejemplo, si recibe un correo electrónico o un mensaje de texto en el que se le informa que ha ganado un suministro de por vida de su producto cosmético favorito, tenga cuidado, ya que es probable que se trate de una estratagema para que haga clic en algo peligroso o que comparta su información personal.

Cree una palabra de seguridad junto a su familia

Una palabra de seguridad o un código familiar es algo que debería crear para poder verificar la identidad de las personas que le resulten sospechosas. Por ejemplo, si alguien lo llama, ya sea a usted o a un familiar, y dice ser un conocido, pídale a esa persona que le ofrezca su palabra de seguridad. Si la persona no conoce la palabra, sabrá que la llamada forma parte de un ataque de phishing. Asegúrese de que su palabra de seguridad no sea algo que un cibercriminal o la IA puedan adivinar tras investigar en línea sobre usted o su familia. Contar con una palabra de seguridad única ayudará a protegerlo a usted y a su familia de caer en ataques de phishing habilitados por IA.

Utilice un gestor de contraseñas

Una de las mejores maneras de protegerse contra los ataques de phishing habilitados por la IA es utilizando un gestor de contraseñas como Keeper. Un gestor de contraseñas no solo almacena sus contraseñas en un lugar seguro, sino que también protege su información contra ataques de phishing cuando tiene una función de rellenado automático. La función KeeperFill, de Keeper Password Manager, solo completará sus credenciales de inicio de sesión cuando el sitio web almacenado en su bóveda digital coincida con el sitio web que está visitando.

Manténgase al día de las últimas noticias sobre ciberseguridad

Dado que la IA está en constante evolución y que los ataques cibernéticos cambian con el tiempo, es importante mantenerse informado sobre las noticias y los acontecimientos más recientes en materia de ciberseguridad. Se publican muchos blogs y artículos a diario para cubrir las últimas violaciones de datos, las tendencias en materia de estafas y las ciberamenazas emergentes. Una manera sencilla de mantenerse informado es seguir varios blogs y sitios web de ciberseguridad, como Dark Reading, SecurityWeek y el Keeper Security Blog.

Evite convertirse en víctima de un ataque de phishing habilitado por IA

Cualquier tipo de ataque de phishing podría provocar que un cibercriminal consiga robar su información privada o su dinero, pero los ataques de phishing basados en IA evolucionan rápidamente y son cada vez más peligrosos. Protéjase y proteja su privacidad evitando enlaces o archivos adjuntos no solicitados, no comparta información personal a través de peticiones no solicitadas, cree una palabra de seguridad y utilice un gestor de contraseñas.

Comience hoy mismo su prueba gratuita de 30 días de Keeper Password Manager para empezar a proteger sus contraseñas y cuentas en línea de los cibercriminales.