Los ciberdelincuentes están explotando herramientas de inteligencia artificial como ChatGPT para crear ataques de phishing más convincentes, lo que alarma a los expertos en ciberseguridad.

Si ha notado un aumento en los correos electrónicos de apariencia sospechosa en el último año, podría deberse en parte a uno de nuestros chatbots de IA favoritos: ChatGPT. Lo sé: muchos de nosotros hemos tenido conversaciones íntimas y privadas en las que hemos aprendido sobre nosotros mismos con ChatGPT, y no queremos creer que ChatGPT pueda ayudarnos a estafarnos.

Según la firma de ciberseguridad SlashNext, ChatGPT y sus cohortes de inteligencia artificial se están utilizando para enviar correos electrónicos de phishing a un ritmo acelerado. El informe se basa en la experiencia de la empresa en amenazas y encuestó a más de trescientos profesionales de ciberseguridad en América del Norte. Es decir, se afirma que los correos electrónicos de phishing maliciosos han aumentado en un 1265 %, específicamente el phishing de credenciales, que aumentó un 967 %, desde el cuarto trimestre de 2022. El phishing de credenciales se dirige a su información personal, como nombres de usuario, identificaciones, contraseñas o pines personales, haciéndose pasar por un persona, grupo u organización de confianza a través de correos electrónicos o un canal de comunicación similar.

Los actores maliciosos están utilizando herramientas de inteligencia artificial generativa, como ChatGPT, para redactar mensajes de phishing pulidos y específicamente dirigidos. Además del phishing, los mensajes de compromiso de correo electrónico empresarial (BEC) son otro tipo común de estafa cibercriminal, cuyo objetivo es defraudar a las empresas. El informe concluye que estas amenazas impulsadas por la IA están aumentando a una velocidad vertiginosa, creciendo rápidamente en volumen y en cuán sofisticadas son.

El informe indica que los ataques de phishing promediaron 31.000 por día y aproximadamente la mitad de los profesionales de ciberseguridad encuestados informaron que recibieron un ataque BEC. En lo que respecta al phishing, el 77% de estos profesionales informaron haber recibido ataques de phishing.

Los expertos opinan

El director ejecutivo de SlashNext, Patrick Harr, afirmó que estos hallazgos "solidifican las preocupaciones sobre el uso de IA generativa que contribuye a un crecimiento exponencial del phishing". Explicó que la tecnología generativa de IA permite a los ciberdelincuentes acelerar la rapidez con la que lanzan ataques, al tiempo que aumenta la variedad de sus ataques. Pueden producir miles de ataques de ingeniería social con miles de variaciones, y usted sólo necesita caer en una.

Harr continúa señalando a ChatGPT, que experimentó un crecimiento trascendental a finales del año pasado. Plantea que los robots generativos de IA han hecho que sea mucho más fácil para los principiantes entrar en el juego del phishing y la estafa, y ahora se han convertido en una herramienta adicional en el arsenal de aquellos más capacitados y experimentados, que ahora pueden ampliar y dirigir más sus ataques. fácilmente. Estas herramientas pueden ayudar a generar mensajes redactados de forma más convincente y persuasiva que los estafadores esperan que sirvan para engañar a las personas.

Chris Steffen, director de investigación de Enterprise Management Associates, lo confirmó cuando habló con CNBC y afirmó: "Atrás quedaron los días del 'Príncipe de Nigeria'". Continuó ampliando que los correos electrónicos ahora “parecen extremadamente convincentes y legítimos”. Los malos actores imitan y se hacen pasar por otros de manera persuasiva en tono y estilo, o incluso envían correspondencia de apariencia oficial que parece provenir de agencias gubernamentales y proveedores de servicios financieros. Pueden hacerlo mejor que antes utilizando herramientas de inteligencia artificial para analizar los escritos y la información pública de individuos u organizaciones para adaptar sus mensajes, haciendo que sus correos electrónicos y comunicaciones parezcan reales.

Es más, hay evidencia de que estas estrategias ya están dando beneficios a los malos actores. Harr se refiere al Informe sobre delitos en Internet del FBI, donde se alega que los ataques BEC han costado a las empresas alrededor de 2.700 millones de dólares, junto con 52 millones de dólares en pérdidas debido a otros tipos de phishing. La veta madre es lucrativa y los estafadores están aún más motivados para multiplicar sus esfuerzos de phishing y BEC.

Qué se necesitará para subvertir las amenazas

Algunos expertos y gigantes tecnológicos contraatacan: Amazon, Google, Meta y Microsoft han prometido que llevarán a cabo pruebas para combatir los riesgos de ciberseguridad. Las empresas también están aprovechando la IA de forma defensiva, usándola para mejorar sus sistemas de detección, filtros y demás. Harr reiteró que, sin embargo, la investigación de SlashNext subraya que esto está completamente justificado ya que los ciberdelincuentes ya están utilizando herramientas como ChatGPT para implementar estos ataques.

SlashNext encontró un BEC particular en julio que usaba ChatGPT, acompañado de WormGPT. WormGPT es una herramienta de cibercrimen que se publicita como "una alternativa de sombrero negro a los modelos GPT, diseñada específicamente para actividades maliciosas como la creación y lanzamiento de ataques BEC", según Harr. También se ha informado que está circulando otro chatbot malicioso, FraudGPT. Harr dice que FraudGPT se ha anunciado como una herramienta "exclusiva" diseñada para estafadores, piratas informáticos, spammers y personas similares, que cuenta con una extensa lista de funciones.

Parte de la investigación de SlashNext se ha centrado en el desarrollo de “jailbreaks” de IA, que son ataques diseñados de forma bastante ingeniosa contra chatbots de IA que, cuando se introducen, provocan la eliminación de las barreras de seguridad y legalidad de los chatbots de IA. Esta es también un área importante de investigación en muchas instituciones de investigación relacionadas con la IA.

Cómo deben proceder las empresas y los usuarios

Si cree que esto podría representar una amenaza grave a nivel profesional o personal, tiene razón, pero no todo es inútil. Los expertos en ciberseguridad están intensificando sus esfuerzos e ideando formas de contrarrestar y responder a estos ataques. Una medida que muchas empresas llevan a cabo es la educación y capacitación continua de los usuarios finales para ver si los empleados y usuarios realmente están siendo sorprendidos por estos correos electrónicos.

El mayor volumen de correos electrónicos sospechosos y dirigidos a destinatarios significa que un recordatorio aquí y allá puede que ya no sea suficiente, y las empresas ahora tendrán que practicar de manera muy persistente para concienciar a los usuarios sobre la seguridad. También se debe recordar a los usuarios finales, sino también alentarlos, a que denuncien los correos electrónicos que parezcan fraudulentos y hablen sobre sus inquietudes relacionadas con la seguridad. Esto no sólo se aplica a las empresas y a la seguridad de toda la empresa, sino también a nosotros como usuarios individuales. Si los gigantes tecnológicos quieren que confiemos en sus servicios de correo electrónico para nuestras necesidades personales de correo electrónico, tendrán que seguir construyendo sus defensas de este tipo de formas.

Además de este cambio a nivel cultural en las empresas y empresas, Steffen también reitera la importancia de las herramientas de filtrado de correo electrónico que pueden incorporar capacidades de inteligencia artificial y ayudar a evitar que mensajes maliciosos lleguen incluso a los usuarios. Es una batalla perpetua que exige pruebas y auditorías periódicas, ya que las amenazas siempre están evolucionando y, a medida que mejoren las capacidades del software de IA, también lo harán las amenazas que las utilizan.

Las empresas tienen que mejorar sus sistemas de seguridad y ninguna solución única puede abordar por completo todos los peligros que plantean los ataques de correo electrónico generados por IA. Steffen plantea que una estrategia de confianza cero puede ayudar a llenar los vacíos de control causados ​​por los ataques y ayudar a proporcionar una defensa para la mayoría de las organizaciones. Los usuarios individuales deberían estar más alerta ante la posibilidad de ser víctimas de phishing y engaño, porque ha aumentado.

Puede ser fácil caer en el pesimismo sobre este tipo de cuestiones, pero podemos ser más cautelosos a la hora de elegir en qué hacer clic. Tómate un momento extra, luego otro, y revisa toda la información; incluso puedes buscar la dirección de correo electrónico de la que recibiste un correo electrónico en particular y ver si alguien más ha tenido problemas relacionados con él. Es un complicado mundo espejo en línea, y cada vez vale más la pena mantener la cabeza alerta.