Los envíos fraudulentos para robar información del destinatario reciben el nombre de phishing. Para lograrlo, los ciberdelincuentes suplantan la identidad de un remitente fácilmente reconocible y piden al usuario datos privados, como contraseñas o datos de acceso a cuentas bancarias. La mayoría de estos correos electrónicos pueden identificarse prestando atención a ciertos detalles, pero la inteligencia artificial (IA) está logrando que cada vez sea más complicado darse cuenta de la estafa.
Cuáles son los riesgos del phishing con inteligencia artificial
La redacción mal cuidada, la sensación de urgencia o los archivos adjuntos que hacen saltar el antivirus son las características más habituales de una comunicación fraudulenta. Pero los usuarios evolucionan y aprenden a detectar el phishing, por lo que también este se vuelve más sofisticado y se perfecciona para evitar ser detectado por errores hoy en día tan evidentes.
La IA es utilizada por los ciberdelincuentes para conseguir que sus mensajes sean más creíbles y así más personas caigan sus engaños. Su objetivo es ganar dinero y lo consiguen recurriendo tanto herramientas de inteligencia artificial al alcance cualquiera como otras específicas disponibles en la dark web. No todos los GPT tienen en cuenta la privacidad o incluso conflictos éticos a la hora de dar respuestas y generar contenidos, por lo que es posible utilizarlos para crear correos electrónicos fraudulentos rápida y fácilmente.
El phishing creado por IA tiene la característica de ser más personalizado. Mientras que el tradicional incluye información genérica esperando que coincida con la del destinatario, la inteligencia artificial permite extraer muchísimos más datos, por ejemplo de redes sociales o historial de compras, y aplicarlos al contenido del mensaje. Además le resulta muy sencillo replicar la imagen corporativa tanto en la comunicación como en la landing a la que se envía al usuario. Esto hace que sea más fácil confiar en el remitente y hacer lo que pida, como rellenar un formulario con datos personales para que no se bloquee una cuenta, un envío o una tarjeta bancaria.
Con la IA se pueden crear contenidos falsos, como imágenes o vídeos deepfake, también para simular ser personas reales e imitar la forma de hablar de un conocido. No solo las empresas corren el peligro de que su identidad sea suplantada, también los contactos de los destinatarios. Y no les supondrá mucho esfuerzo, al contrario, ya que los ciberdelincuentes pueden automatizar la generación de mensajes de phishing haciendo que su volumen sea muy superior al de hace unos años.
Cada vez es más difícil detectar los correos electrónicos fraudulentos, los sistemas tradicionales todavía no están del todo preparados para identificar sus mensajes creados por IA porque parecen legítimos. Esto puede llevar a que las marcas vean cómo sus propios clientes pierden la confianza en ellos y su reputación disminuya, aunque la culpa no sea directamente suya. Por eso, es necesario establecer medidas que protejan tanto a los usuarios como a las empresas de estos ataques.
Cómo protegerse del phishing por IA
Los usuarios deben establecer medidas de protección contra cualquier tipo de ciberataque, incluyendo el phishing creado por inteligencia artificial. Entre las buenas prácticas recomendadas, destacamos:
- Prestar especial atención a las direcciones de correo electrónico de los remitentes, incluso verificar su identidad por otro canal si se tienen dudas.
- Evitar las interacciones con remitentes desconocidos, como hacer clic o descargar archivos cuando no se han solicitado.
- Tener siempre actualizados antivirus y firewall, además suelen estar al día de las últimas técnicas por lo que también se pueden seguir sus noticias.
- Utilizar verificación en dos pasos, gestores de contraseñas y códigos de seguridad para dificultar el acceso a información sensible.
- Hacer caso de las campañas informativas de sus marcas de confianza en las que avisan, por ejemplo, que nunca pedirán sus contraseñas o se les contactará por correo electrónico para pedirles que verifiquen su identidad.
Por su parte, las empresas también tienen algunos recursos para protegerse de ataques de phishing por IA. El principal es la autentificación del dominio con DMARC para que no haya dudas de que quién es el remitente. Recuerda que Google y Yahoo! ya establecieron la obligatoriedad de utilizar protocolos SPF, DKIM y DMARC, por lo que es más difícil que el fraude venga de esas direcciones.
También es necesario proteger los servidores de correo con firewalls y filtros antiphishing, además de tener los sistemas actualizados para que no haya problemas de seguridad. Para los envíos masivos, conviene utilizar una plataforma profesional certificada en el Esquema Nacional de Seguridad (ENS) y no solo las administraciones públicas y sus proveedores porque estén obligadas, también quienes busquen respuestas eficaces ante posibles ciberataques.
Pero ninguna tecnología es suficiente si las personas no saben reconocer un intento de engaño. Por eso, la mejor defensa empieza por la formación: invertir en concienciar a los equipos sobre las tácticas de phishing reduce significativamente el riesgo de que caigan en la trampa. Contar con programas de formación en concienciación sobre ciberseguridad permite transformar riesgos en resiliencia.
