Explora cómo los Google Dorks pueden desenterrar datos ocultos en la web y aprende a protegerte de sus riesgos con consejos expertos.
¿Cómo usan los cibercriminales la IA para atacarnos?
Suplantación de identidad y estafas por audio. Estas son solo algunos de los ciberataques que se han vuelto cada vez más complejos gracias a la IA.
Tecnología01/07/2024Equipo ObjetivoNo es novedad que la inteligencia artificial ha crecido de manera exponencial en los últimos años. Y, a pesar de que el uso de estas herramientas puede ser positivo en muchos aspectos, también tiene su lado negativo: en los últimos años, se ha visto un incremento en cómo la IA es utilizada de diferentes maneras por el cibercrimen para llevar adelante sus ataques y acciones maliciosas.
Según el último Reporte de Ciberseguridad de Entel Digital, durante 2023, Chile fue el cuarto país de Latinoamérica más afectado por ciberataques, siendo superado solo por Brasil, México y Argentina. Uno de ellos fue el que llevó a cabo un grupo de piratas informáticos que afectó al Banco Santander con filtraciones de datos de clientes de Chile, España y Uruguay.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, asegura que la compañía de seguridad digital ya había alertado sobre el uso malicioso que el cibercrimen podría darle a una herramienta con alcances tan amplios como es la inteligencia artificial.
"A menos de un año y medio de esa advertencia, ya se puede observar cómo la utilizan para expandir y mejorar sus tácticas y estrategias de ataque", expresa Gutiérrez Amaya. Así, ESET repasa las 5 maneras en que los cibercriminales están utilizando la IA para efectuar estafas y quedarse con el dinero y datos personales de sus víctimas:
1. Perfeccionar la suplantación de identidad
Según investigadores de seguridad de IA en ETH Zurich, el gran auge de ChatGPT se vio acompañado de un daño colateral muy peligroso: el enorme aumento de correos de phishing. La IA generativa se convirtió en la mejor aliada para diagramar formas de engañar a las personas para que estas revelen información sensible, ya sea para sacar un rédito económico o utilizarla para otras acciones maliciosas. Pero IA no es solo utilizada como una herramienta para lograr contenidos cada vez más convincentes, sino que también que se utiliza para traducir mensajes y mejorar la comunicación entre diferentes grupos cibercriminales de todo el mundo.
Servicios como GoMail Pro, con una integración de ChatGPT, permite a los ciberatacantes mejorar el contenido de los mensajes que luego envían a sus víctimas. Si bien OpenAI intenta limitar el uso de sus productos para actividades ilegales, es algo muy difícil de detectar y controlar. Aun así, a principios de este año anunciaron el cierre de cinco cuentas asociadas al cibercrimen.
2. Optimizar el "doxing"
El doxing, también conocido como doxxing, es la práctica de publicar información personal de terceros con la intención de intimidar, extorsionar o afectar de algún modo. Esta práctica se afianzó en 2020 como parte de los ataques de ransomware, en los que los cibercriminales, además de secuestrar todos los archivos, roban información de sus víctimas para sumar presión a las organizaciones, amenazándolas con publicar toda esa información privada si no se paga el rescate.
Hoy la IA, que se entrena con la gran cantidad de datos de Internet, incluidos los datos personales, puede deducir dónde podría estar ubicada una persona. La regla es simple: mientras más información haya sobre cada usuario en Internet, más vulnerable se está a este tipo de prácticas. De hecho, el security researcher Mislav Balunović descubrió, junto a un equipo de investigación, que gracias a GPT-4 es posible inferir información sensible de una persona, ya sea su origen étnico o la ubicación, con el mero uso de conversaciones con un chatbot. Por ello, siempre recomendamos desde ESET pensar dos veces qué tipo de información y contenidos se comparten en línea.
3. Hacer más realistas las estafas por audio y "deepfake"
No es una novedad que la IA generativa evolucionó a tal punto que hoy es realmente difícil discernir entre una imagen real y una creada por esta herramienta. Un ejemplo que ilustra de manera paradigmática es el de la estafa al empleado que perdió 24 millones de dólares tras una reunión con quien supuestamente era el director financiero de la compañía y le pedía la transferencia por ese monto importante de dinero.
La otra cara de esta misma moneda son las estafas por audio. Se necesita tan solo una toma de unos pocos segundos de la voz de una persona -de un video subido a Instagram o TikTok, por ejemplo-, para producir algo peligrosamente convincente.
4. Esquivar controles de identidad
En la misma línea que los deepfakes, los cibercriminales han encontrado la manera de eludir aquellos controles que verifican la identidad de una persona a través de una imagen gracias a la inteligencia artificial. ¿Cómo lo hacen? Mediante un documento de identificación, ya sea falso o robado, logran superponer esa imagen por encima del rostro de la persona real -similar a un filtro de la plataforma Instagram- y así engañar al sistema. Si bien de momento esta práctica se encuentra en un estado básico, es una metodología que podría seguir mejorando y expandiendo su aplicación.
5. Ofrecer "jailbreak" como servicio
Las empresas detrás de las herramientas de inteligencia artificial implementan varias instancias de protección con el fin de que sus modelos no devuelvan a los usuarios alguna información que pudiera ser peligrosa. Ahora bien, el cibercrimen está optando por contratar servicios de jailbreak, en vez de construir sus propios modelos de IA, algo que les implicaría mucho más tiempo y dinero. Los ciberatacantes pueden modificar el sistema de inteligencia artificial apuntado, y generar respuestas vinculadas a la generación de contenido para correos maliciosos o directamente para escribir código para un ransomware u otro tipo de malware, eludiendo estas limitaciones de las herramientas originales.
“La tecnología no es buena ni mala, como tampoco lo es la inteligencia artificial: todo depende de las intenciones con que se las utilice. Es inevitable hablar del uso que se puede hacer de estos avances tecnológicos, en las manos equivocadas. Estar al tanto de las estrategias y tácticas de los cibercriminales es el primer paso para no ser una víctima más de sus estafas y engaños”, concluye Gutiérrez Amaya.
Spotify se convierte en un vehículo para malware: enlaces ocultos en descripciones de podcasts redirigen a descargas maliciosas, advierte ESET.
Descubre cómo Bluesky revoluciona las redes sociales con portabilidad de cuentas, algoritmos personalizados y un enfoque en transparencia y privacidad.
La dark web es un espacio donde operan ciberdelincuentes, y tus datos personales pueden terminar allí. Aprende prácticas de seguridad clave para protegerte.
Se trata de una nueva polémica en la que están envueltas Facebook e Instagram, está vez por el sistema de protección a menores.
Exploramos qué es el stalkerware y por qué su presencia en dispositivos podría significar una violación de nuestra privacidad más allá de lo imaginable.
Exploramos cómo renovar los tradicionales saludos navideños para el 2024, brindando ideas frescas y creativas para compartir en WhatsApp.
Explora cómo los Google Dorks pueden desenterrar datos ocultos en la web y aprende a protegerte de sus riesgos con consejos expertos.
Polla Chilena lanza "La Suerte en Chile", un sorteo con $90 millones en premios. Además, celebra a quienes cumplen 90 años en 2024. Acá los resultados.
Donald Trump exigió al gobierno explicar los avistamientos de drones reportados en la costa este: "No puedo imaginar que sea el enemigo".
Descubre consejos de una experta en nutrición para disfrutar las celebraciones con equilibrio, incluyendo recetas saludables y hábitos clave.