En septiembre, Reuters condujo un experimento conjunto con la Universidad de Harvard, en el que pidieron a chatbots de inteligencia artificial (IA) populares como Grok, ChatGPT, DeepSeek y otros que crearan el «correo electrónico de phishing perfecto» impulsado por esta tecnología. Los emails generados se enviaron a 108 voluntarios, de los cuales el 11 % hizo clic en los enlaces maliciosos.
Con una simple indicación, los investigadores obtuvieron mensajes altamente persuasivos capaces de engañar a personas reales.
El experimento sirve como un llamado de atención. A pesar de lo disruptivo que ha sido el phishing a lo largo de los años, la IA lo está transformando en una amenaza más rápida, económica y eficaz.
Para el año que viene, la detección del phishing mediante IA debe convertirse en una prioridad absoluta para las empresas que buscan mayor seguridad en un entorno de amenazas cada vez más complejo.
El surgimiento del phishing impulsado por IA como una amenaza importante
Un factor clave es el auge del phishing como servicio (PhaaS). Las plataformas de la dark web ofrecen kits de suscripción que permiten a los delincuentes poco cualificados lanzar campañas sofisticadas.
Informes recientes sugieren que estos servicios han generado más de 17 500 dominios de phishing en 74 países, dirigidos a cientos de marcas globales. En apenas 30 segundos, los delincuentes pueden crear portales de inicio de sesión clonados para servicios como Okta, Google o Microsoft, prácticamente idénticos a los reales.
Con la infraestructura de phishing disponible bajo demanda, las barreras de entrada para la ciberdelincuencia son prácticamente inexistentes.
Al mismo tiempo, las herramientas de IA generativa permiten a los delincuentes crear correos electrónicos de phishing convincentes y personalizados en segundos.
Estos correos electrónicos no son el spam común que todos conocemos. Al extraer datos de LinkedIn, sitios web o filtraciones anteriores, las herramientas de IA crean mensajes que reflejan el contexto empresarial real, incitando a los empleados más precavidos a hacer clic.
La tecnología también está impulsando un auge del phishing de audio y vídeo deepfake. En la última década, los ataques relacionados con deepfake han aumentado un 1000 %. Los delincuentes suelen hacerse pasar por directores ejecutivos, familiares y colegas de confianza a través de canales de comunicación como Zoom, WhatsApp y Teams.
Las defensas tradicionales no están dando resultados
La detección basada en firmas que utilizan los filtros de correo electrónico tradicionales es insuficiente contra el phishing impulsado por IA. Los actores de amenazas pueden rotar fácilmente su infraestructura, incluyendo dominios, líneas de asunto y otras variaciones únicas que eluden las medidas de seguridad estáticas.
Una vez que el phishing llega a la bandeja de entrada, el empleado decide si confiar en él. Desafortunadamente, dado lo convincentes que son los correos electrónicos de phishing de IA actuales, es probable que incluso un empleado bien capacitado cometa un error. La revisión aleatoria de errores gramaticales es cosa del pasado.
Además, la sofisticación de las campañas de phishing puede no ser la principal amenaza. La magnitud de los ataques es lo más preocupante. Los delincuentes ahora pueden lanzar miles de nuevos dominios y sitios web clonados en cuestión de horas. Incluso si una ola es derribada, otra la reemplaza rápidamente, lo que garantiza un flujo constante de nuevas amenazas.
Es una tormenta de IA perfecta que requiere un enfoque más estratégico para afrontarla. Lo que funcionó contra los intentos de phishing de ayer no se compara con la magnitud y sofisticación de las campañas modernas.
Estrategias clave para la detección de estos ataques
Como suelen recomendar los expertos en ciberseguridad y los organismos gubernamentales, un enfoque multicapa es la mejor opción para todo lo relacionado con la ciberseguridad, incluyendo la detección de ataques de phishing impulsado por IA.
La primera línea de defensa es un mejor análisis de amenazas. En lugar de filtros estáticos que se basan en inteligencia de amenazas potencialmente obsoleta, los modelos de PLN entrenados con patrones de comunicación legítimos pueden detectar desviaciones sutiles en el tono, la redacción o la estructura que un humano capacitado podría pasar por alto.
Pero ninguna automatización puede reemplazar el valor de la concienciación de seguridad de los empleados. Es muy probable que algunos correos electrónicos de phishing con IA acaben llegando a la bandeja de entrada, por lo que contar con un personal bien capacitado es necesario para su detección.
Existen muchos métodos para la formación en concienciación de seguridad. La formación basada en simulación es la más eficaz, ya que mantiene a los empleados preparados para lo que realmente ocurre con el phishing con IA.
Las simulaciones modernas van más allá de la simple formación para detectar errores tipográficos: reflejan campañas reales vinculadas al rol del usuario para que los empleados estén preparados para el tipo exacto de ataques que probablemente enfrentarán.
El objetivo no es poner a prueba a los empleados, sino desarrollar memoria para que reportar actividades sospechosas sea algo natural.
La capa final de defensa es UEBA (acrónimo en inglés de Análisis del Comportamiento de Usuarios y Entidades), que garantiza que un intento de phishing exitoso no resulte en una vulneración a gran escala.
Los sistemas UEBA detectan actividades inusuales del usuario o del sistema para advertir a los defensores sobre una posible intrusión. Generalmente, esto se presenta en forma de alerta, por ejemplo, sobre un inicio de sesión desde una ubicación inesperada o cambios inusuales en el buzón de correo que no se ajustan a la política del departamento de Tecnologías de Información.
Información de AI News / Redacción Mente Digital
Puedes seguir leyendo: HONOR ALPHA Store: La tienda de IA que redefine la tecnología en China
Nuestras redes sociales, únete y sé parte de la tecnología
