CIBERSEGURIDAD, BIGDATA Y DIGITALIZACIÓN

¿Cómo afecta la inteligencia artificial al 'phishing'?

01/07/2024

CATEGORíA: General MARCA: BBVA

La IA generativa facilita la creación inmediata de mensajes redactados de forma que parecen legítimos y que tienen más probabilidades de engañar a las víctimas


Hasta ahora, la realización de un 'phishing', uno de los ataques de ingeniería social más comunes, requería la realización de una investigación exhaustiva de la víctima que se tenía que hacer fundamentalmente de forma manual (lenta y costosa), por lo que estos ataques eran menos frecuentes. Sin embargo, las capacidades de inteligencia artificial generativa permiten automatizar esta búsqueda y realizar ataques dirigidos de forma masiva.

 

Foto de Petter Lagson en Unsplash

 

Internet es un entorno en el que los estafadores no tienen que exponerse físicamente para dar sus golpes, lo cual les proporciona una cómoda sensación de seguridad. Asimismo, existen muchas formas de automatizar tareas, que hace que los delincuentes puedan afectar a cifras astronómicas de posibles víctimas casi sin esfuerzo.

 

Por este motivo, la ingeniería social a través de Internet no ha dejado de evolucionar junto con la digitalización de las empresas y de las personas. Si bien inicialmente solo se realizaba a través de correos electrónicos (lo que se conoce como 'phishing'), progresivamente se han ido incorporando nuevos canales a los engaños, como los sistemas de mensajería instantánea y redes sociales ('SMSishing'), las memorias USB extraviadas ('baiting'), las llamadas telefónicas ('vishing'), y más recientemente los códigos QR, que están cada vez más presentes tanto en el entorno físico como en el digital ('QRishing').

 

A lo largo del tiempo los ataques de ingeniería social también se han ido haciendo cada vez más sofisticados. Al inicio, consistían en envíos masivos de mensajes con contenidos muy generales, cada vez se han ido perfeccionando más, dirigiéndose a colectivos específicos y tratando temáticas adaptadas a ese colectivo, de modo que el engaño sea mucho más difícil de identificar.

 

De esta forma, el 'phishing' se enmascara en un mensaje aparentemente procedente de un contacto real, o simula un mensaje correspondiente a un proceso real de la empresa de la víctima, por ejemplo. Esto es lo que se conoce como 'phishing' dirigido, o comúnmente en su término en inglés 'spear phishing'. Y, aunque los correos electrónicos de 'phishing' dirigido representan solo el 0,1% de todos los emails enviados, estos son responsables del 66% de todas las brechas de seguridad, según un informe de Barracuda, compañía de seguridad estadounidense.

 

Como consecuencia, los ciberataques recibidos en España han incrementado de manera notable. En 2023 alcanzaron una cifra récord de 107.777 incidentes registrados, lo que supone un aumento del 94% con respecto al 2022, según un informe del Centro Criptológico Nacional (CCN). Por esta razón, la ciberseguridad es el problema que más preocupa al 48% de las empresas españolas, las cuales han incrementado en 4,7 millones de euros su presupuesto destinado a técnicos de la información, según el Informe de Ciberpreparación de la aseguradora Hiscox.

 

También los objetivos de la ingeniería social han ido evolucionando con el tiempo. Si bien al principio fundamentalmente buscaban información fácilmente convertible en dinero, como contraseñas de los bancos, o directamente engañar a la víctima para que realice un pago al atacante, con la mejora en los sistemas de verificación de la identidad del usuario, como la biometría, cada vez más el objetivo consiste en instalar un 'malware' en el dispositivo de la víctima que permita al atacante obtener el control y acceder desde él a las tareas que considere.

 

Una gran aliada

A pesar de que la inteligencia artificial se utiliza para perfeccionar los ciberataques, también se emplea para lo contrario: aumentar la seguridad del mundo digital. Los sistemas de IA se utilizan desde hace tiempo para la detección de anomalías que puedan indicar la existencia de un ciberataque o de un fraude. Sin embargo, con los nuevos avances, los sistemas de defensa son mucho más precisos a la hora de detectar amenazas cada vez más sofisticadas, permitiendo su prevención y eliminación temprana.

 

Los sistemas de inteligencia artificial también pueden utilizarse para automatizar tareas de supervisión de la ciberseguridad, de modo que se puedan hacer más rápido y evitando un gran número de errores humanos. Esto tiene varias ventajas para la ciberdefensa, según un artículo de IBM:

 

  • Permite la protección de datos en plataformas tecnológicas, que combinan servicios en la nube pública y privada, ya que supervisa anomalías en el acceso de esos datos y alerta a los profesionales de ciberseguridad sobre amenazas potenciales.
  • El análisis de riesgos impulsado por IA es más preciso. Realiza resúmenes de los incidentes y automatiza las respuestas a estos, lo que acelera las investigaciones y clasificaciones de las vulnerabilidades en un 55%.
  • Reduce el fraude hasta un 90% con mecanismos como el de la verificación de usuarios: los sistemas pueden distinguir entre personas reales y actividades maliciosas a través del análisis de datos de comportamiento.

 

Aunque es importante contar con mecanismos de defensa contra ataques fraudulentos, la educación de los usuarios para detectar engaños también es fundamental. Por eso, el Instituto Nacional de Ciberseguridad (INCIBE) ofrece una serie de recomendaciones para identificar este tipo de fraudes:

 

  • No abrir correos que proceden de usuarios desconocidos.
  • No contestar a esos correos ni enviar información personal, como contraseñas o datos bancarios.
  • Mantener actualizados todos los dispositivos y programas.
  • Verificar quién envía un mensaje antes de proporcionar cualquier información.
  • No pulsar en enlaces antes de verificar a qué web redirigen.
  • No descargar ficheros adjuntos que contenga el mensaje.
  • Utilizar un 'software' de seguridad actualizado.
  • Activar la autenticación de dos factores siempre que un servicio online lo permita.

 

Fuente: https://www.bbva.com

 




Volver al listado Volver al listado





vimeo twitter facebook linkedin


Financiado por la Unión Europea Next GenerationEU Plan de Recuperación, Transformación y Resilencia