Ciberseguridad en la era de la IA: por qué los ataques de phishing son ahora más peligrosos

9 de octubre de 2023

Cuando hablamos de ciberamenazas, uno de los métodos de ataque más persistentes utilizados por los actores maliciosos es el phishing: correos electrónicos diseñados para engañar al destinatario con el objetivo de que revele información confidencial o realice acciones que permitan el robo de sus datos.

El phishing es uno de los métodos de ataque más exitosos. Y en la era de la Inteligencia Artificial (IA) los ciberdelincuentes han encontrado en la IA una herramienta que les permite enviar mensajes más convincentes, contextuales y personalizados, para incrementar sus probabilidades de éxito. Y según el informe Phishing Threat Trends Report 2023, lo están consiguiendo.

Inteligencia Artificial en ataques de phishing y phishing selectivo (spear-phishing)

El informe, publicado por Egress (bajo suscripción), revela que los correos electrónicos de phishing generados con IA van en aumento y son más efectivos. Más difíciles de identificar y de diferenciar de las comunicaciones legítimas.

Tanto es así que en tres de cada cuatro casos (71%) los detectores de IA no pueden distinguir entre un mail escrito por un bot y una persona, según recoge Infosecurity Magazine.

De este modo, utilizando modelos de IA generativa, los atacantes consiguen crear textos más convincentes, muy parecidos a los correos legítimos de empresas (como en el ejemplo del banco) entidades, organizaciones sin ánimo de lucro o agencias gubernamentales.

También con ayuda de IA los ciberdelincuentes tienes más facilidad para personalizar los correos electrónicos con información específica de posibles víctimas. Esta información pueden obtenerla de fuentes abiertas, como las redes sociales, o recopilando y analizando grandes bases de datos disponibles en el mercado negro de la Deep web. El propósito es igualmente el de robar datos o instalar malware en su ordenador.

Esto significa que los correos electrónicos de phishing tienen cada vez un mayor grado de personalización al añadir información sobre la víctima, como nombre, puesto y lugar de trabajo. Con esto se consigue que el mensaje sea más creíble. También se utilizan más datos sobre los intereses personales y preferencias o estilo de vida de la víctima para construir un anzuelo único dirigido contra un individuo o empresa específico.

Con este uso de la IA los ciberdelincuentes consiguen un engaño aún más efectivo que añade peligrosidad del ataque, al incrementar el riesgo de que los usuarios piquen el anzuelo.

La automatización con IA llega a los ataques de phishing

La IA no solo se utiliza en la creación de correos electrónicos de phishing, sino también en la automatización de ataques. Los atacantes pueden utilizar bots de IA para enviar correos electrónicos de phishing más eficientes a gran escala.

Estos bots pueden identificar automáticamente objetivos potenciales y, en muchos casos, evadir las defensas convencionales de seguridad. En este sentido la IA permite, por ejemplo:

  • Enviar en 'tiempo real' miles de phishing personalizado y vinculado a la actualidad. Por ejemplo, para solicitar ayuda o donaciones falsas a organizaciones humanitarias en apariencia legítimas en caso de desastre natural. O para imitar las notificaciones de seguridad de una entidad que ha sido víctima de una campaña de phishing, dificultando aún más que los destinatarios distingan entre el engaño y la realidad.
  • Detectar respuestas de las víctimas y continuar la conversación mediante chatbots y con respuestas automáticas para mantener conversaciones simuladas con quienes respondenn o muestran interés. También para extraer información adicional. Por ejemplo, cuando el mensaje de ausente o fuera de la oficina proporciona más información de la necesaria.
  • Como hemos comentado antes, para recopilar datos de redes sociales, sitios web públicos y grandes bases de datos filtradas para construir perfiles detallados de las posibles víctimas. Esto les permite diseñar correos electrónicos de phishing personalizados que tienen mayores posibilidades de éxito.
  • Sortear las defensas convencionales de seguridad, como los filtros de correo no deseado y los antivirus, ofuscando el contenido real y la intención del correo electrónico. O cambiando constantemente su contenido y técnica para evitar la detección automática, dificultando la protección automática contra los ataques de phishing.

Cómo protegerse contra el phishing generado con IA

Dada la creciente sofisticación de los ataques de phishing generados con IA, es imprescindible aplicar de forma automática medidas para protegerse. Entre las estrategias que pueden ayudar, se incluyen:

  • Estar informado y al día sobre las campañas y evoluciones relacionados con el phishing y aprender a identificarlo, también en la era de la IA. Las empresas deben proporcionar a sus empleados la capacitación adecuada en materia de Ciberseguridad.
  • Invertir en herramientas de protección probadas y reconocidas y en soluciones de seguridad avanzadas que utilicen IA para detectar y prevenir ataques de phishing más allá del contenido, identificando patrones de comportamiento sospechoso y alertando sobre posibles amenazas.
  • Verificar el origen (campo De: o From:) de un correo electrónico antes de hacer clic en enlaces o proporcionar información confidencial, comprobando con atención la dirección del remitente y las direcciones URL incluidas en el mensaje.
  • Desconfiar siempre de correos electrónicos urgentes o que exigen una acción inmediata o amenazan con consecuencias negativas (como el bloqueo de la cuenta del banco o una incidencia con la declaración de la renta) y dedicar un momento a analizar el mensaje y evaluar su autenticidad.
  • Mantener actualizados ordenadores, dispositivos, móviles y programas y con sus correspondientes parches de seguridad, para reducir el riesgo de que los atacantes aprovechan vulnerabilidades conocidas.

* * *

Según Egress, un 30% del correo electrónico es "correo gris" (graymail), mensajes masivos solicitados pero innecesarios que raramente se abren, como notificaciones o newsletters.

Imagen de Natanaelginting en Freepik.

Cómo Clean Email Business protege a las pymes de ciberataques por correo electrónico