La inteligencia artificial al servicio de ataques de ingeniería social cada vez más sofisticados
Read
Los piratas informáticos aprovechan lo último en tecnología para engañar a sus víctimas y hacer que compartan información
Las amenazas a la ciberseguridad han evolucionado considerablemente a lo largo de los años. Además, las nuevas tecnologías hacen que a los ciberdelincuentes les resulte más fácil llevar a cabo ataques de ingeniería social, como el phishing y el vishing.
Los piratas informáticos perfeccionan continuamente sus técnicas para adelantarse a las medidas de ciberseguridad y aprovecharse con éxito de particulares, empresas y otras organizaciones, y el phishing continúa siendo su arma preferida. Según el Informe sobre Delitos en Internet 2022 del FBI, el número de incidentes de phishing denunciados pasó de aproximadamente 26,000 en 2018 a más de 300,000 en 2022, una cifra significativamente superior a la de cualquier otro tipo de delito denunciado al Centro de Denuncias de Delitos en Internet del FBI.
Con los avances en inteligencia artificial (IA) y otras tecnologías, incluidas las herramientas de IA generativa como ChatGPT 4, los ciberdelincuentes están automatizando y personalizando estos ataques de ingeniería social para mejorar sus tasas de éxito. Los particulares, las empresas y otras organizaciones deben estar alerta para protegerse de estas amenazas cada vez más sofisticadas.
La ingeniería social se basa en ganarse la confianza de la víctima
La ingeniería social consiste en engañar a las víctimas para que les proporcionen información confidencial. Por ejemplo, una técnica habitual que utilizan los ciberdelincuentes es el «pretexto», que consiste en crear una identidad o relato falsos para ganarse la confianza de la víctima. Otra técnica es la del «anzuelo», que consiste en ofrecer a la víctima algo que desea, como una tarjeta de regalo, a cambio de su información confidencial.
Toda la información personal que el hacker obtenga de cualquier fuente puede ser útil para agilizar estos ataques y para hacer que parezcan más creíbles. En algunos casos, los ciberdelincuentes están empezando a utilizar la IA para recopilar información sobre sus víctimas, como el cruce de la foto de perfil de la víctima entre plataformas para identificar sus distintas cuentas en redes sociales. Los atacantes pueden utilizar la información de esas publicaciones en redes sociales para pergeñar correos electrónicos y llamadas telefónicas personalizados que la víctima perciba como reales más que como una amenaza.
La IA puede hacer que el phishing sea más convincente
La IA genera más oportunidades para que los ciberdelincuentes perfeccionen los ataques de ingeniería social y engañen a sus víctimas con mayor eficacia para ganarse la confianza que necesitan.
Un ejemplo de esta práctica es el vishing, una forma de phishing que utiliza llamadas de voz en lugar de emails. Los ataques de vishing se valen de técnicas de ingeniería social para hacerse pasar por interlocutores legítimos, como empleados de bancos, agentes de soporte técnico o funcionarios públicos, con el fin de engañar a las víctimas para que compartan información confidencial, como credenciales de acceso o números de tarjetas de crédito.
Gracias a los avances de la IA, los hackers pueden utilizar programas de reconocimiento de voz para hacerse pasar por personas específicas, como el jefe, el compañero de trabajo o el cónyuge de la víctima. Esta tecnología permite que los hackers personalicen su voz para que coincida con la de la persona a la que suplantan, de forma que a la víctima le resulte más difícil detectar el engaño.
Las nuevas herramientas de inteligencia artificial y demás tecnologías también han hecho que a los ciberdelincuentes les resulte más fácil perpetrar ataques de suplantación de identidad con devolución de llamada. Este tipo de ataques suele comenzar con un email de phishing que incluye un número de teléfono al que la víctima debe llamar. Cuando la víctima llama al número, se la dirige a un sistema falso de respuesta de voz interactiva (IVR) que parece pertenecer a una organización legítima, como un banco o una empresa de tecnología. El sistema de IVR pide a la víctima que introduzca información confidencial, como su número de cuenta o sus credenciales de acceso, y esa información cae en manos de los hackers.
Los ciberdelincuentes ahora pueden utilizar tecnología de suplantación facial y de voz para crear sistemas de IVR falsos y convincentes. Estos sistemas utilizan el procesamiento del lenguaje natural para simular una conversación real y hasta pueden adaptarse a las respuestas de la víctima, haciendo que la conversación resulte más convincente. Por si fuera poco, los hackers también pueden utilizar tácticas de ingeniería social para convencer a la víctima de que les permita instalar software de acceso remoto en su equipo, con lo que el atacante tendrá pleno control sobre la computadora de la víctima y acceso a información confidencial.
Y eso es solo el comienzo. La última generación de herramientas de IA puede utilizarse para crear archivos de audio, imágenes e incluso videos falsos, todo lo cual ofrece a los ciberdelincuentes más formas de tratar de explotar la confianza de sus víctimas y obtener acceso a su información y sistemas.
Formas de defenderse contra el phishing y otros ataques de ingeniería social
Manténgase alerta para defenderse de las amenazas de phishing, como los ataques de vishing y devolución de llamada. Recuerde que, incluso sin herramientas de IA, los hackers utilizan tácticas de ingeniería social para manipular a las víctimas y conseguir que divulguen información confidencial.
Una de las medidas más sencillas, pero más importantes, es verificar las comunicaciones por email y teléfono y tener cuidado cuando se comparte información confidencial o financiera. Si no reconoce al remitente, no haga clic en ningún enlace ni abra los archivos adjuntos del email. Por último, no proporcione información personal o financiera por teléfono a menos que usted haya iniciado la llamada y haya comprobado que está hablando con una fuente legítima.
Otras medidas para mitigar el riesgo de ataques de phishing son el uso de contraseñas únicas y complejas, la implementación de la autenticación multifactor y el cifrado de datos siempre que sea posible.
Además, las empresas deben capacitar a sus empleados para que puedan reconocer los ataques de phishing y deben mantener actualizados los programas informáticos y los sistemas para protegerse contra cualquier vulnerabilidad. Otras medidas de protección pueden incluir el uso de firewalls y la instalación de software antiphishing y antimalware en los dispositivos de la empresa.
Qué debe hacer si es víctima de un ciberataque
En el caso de que su organización sea víctima de un ciberataque, es importante contar con un plan de respuesta ante incidentes.
El diseño y la implementación de un plan de respuesta ante incidentes debe ser una máxima prioridad para las empresas. Este plan regirá y determinará la forma en que la organización responderá eficazmente a los incidentes de ciberseguridad. Define lo que constituye una violación e identifica a las principales partes interesadas, los procedimientos de elevación a una instancia superior y otras medidas que deben adoptarse durante un incidente o evento cibernético.
Los dirigentes de las organizaciones también deben estar preparados para investigar con eficacia los riesgos de ciberseguridad. Una empresa puede contratar a un especialista con experiencia en ciberseguridad cuando se produce un incidente o asociarse proactivamente con un proveedor de servicios independiente que estará a su disposición para ayudar cuando surjan los problemas. Un profesional de la ciberseguridad puede ayudar a revisar la situación y determinar lo que ha sucedido, identificar el origen del ataque, evaluar los daños provocados, recomendar tácticas correctivas, ocuparse de los requisitos de notificación y asesorar sobre los pasos a seguir para evitar futuros incidentes.
Tener acceso a expertos externos también puede ayudar a una organización a confirmar que las pruebas relacionadas con el incidente se recopilan y gestionan adecuadamente, y de una manera coherente con lo que exigirían los juzgados en caso de que fuera necesario iniciar acciones legales.
En la actualidad, para muchas organizaciones, ser víctima de un ciberataque no es una cuestión de «si», sino de «cuándo». Además, los ciberdelincuentes aprovechan las nuevas tecnologías, como la IA, para potenciar sus ataques. Por este motivo, hoy más que nunca las organizaciones se sienten presionadas para planificar, proteger y responder a las ciberamenazas, incluidos el phishing, el vishing y otros ataques de ingeniería social. Contratar a una empresa de servicios profesionales con experiencia en ciberseguridad puede ayudarlo a usted y a su organización a afrontar estos desafíos.
Póngase en contacto conmigo o con otro miembro del equipo de servicios de asesoramiento sobre ciberseguridad y privacidad de datos de Kaufman Rossin para obtener más información sobre cómo podemos ayudarlo a hacer frente a estos desafíos, cumplir los requisitos de cumplimiento, capacitar al personal, evaluar sus riesgos y responder eficazmente a incidentes y eventos de ciberseguridad. Nuestro equipo puede ayudar a su organización a planificar y responder a las amenazas de seguridad más recientes, incluidas las que plantean la IA y otros avances tecnológicos. Con nuevas herramientas de IA como ChatGPT 4 y otras que surgen cada día, los riesgos no harán más que aumentar, así que capacítese y forme a su personal, manténgase alerta y díganos cómo podemos ayudarlo.
Jeffrey Bernstein is a Director de ciberseguridad y privacidad de datos en la oficina de Servicios de Asesoría de Riesgos Director of Cybersecurity and Data Privacy at Kaufman Rossin, one of the Top 100 CPA and advisory firms in the U.S.