Escrito por: Jerónimo Corregido
La amenaza del phishing se ha pronunciado con el uso de la inteligencia artificial. Diariamente se bloquean millones de intentos de phishing en toda la región. Los delincuentes potencian el alcance de sus estafas a través de alianzas que les permiten llegar a más víctimas.
El problema de cómo prevenir el phishing no tiene una resolución absoluta.
Phishing: qué es y cómo detectar el engaño
Entre los numerosos fraudes ligados con la suplantación de la identidad, el phishing es uno de los más difundidos. Consiste en hacerse pasar por un tercero, generalmente una autoridad oficial, para solicitar dinero o información de la víctima.
La metodología suele ser mediante correos electrónicos, pero también puede suceder mediante mensajes de texto u otras vías. Cuando los estafadores llaman por teléfono, se trata de un caso de vishing, y puede implicar la adulteración de la voz con inteligencia artificial.
Los mensajes de phishing pueden ser detectados por mínimos errores: un logo que no es exactamente como el de la entidad que supuestamente lo envía, faltas de ortografía, irregularidades en la redacción, un remitente que no luce oficial.
Pero estos detalles se han ido perfeccionado desde el lado de los estafadores gracias al uso de inteligencia artificial. Esto quiere decir que puede resultar cada vez más difícil reconocerlos.
Así pues, cualquier comunicación sospechosa de una autoridad debe ser tomada con cautela, sobre todo cuando ésta requiere dinero o información confidencial. En esos casos, se debe consultar con la fuente oficial de la entidad para verificar si el mensaje es verdadero.
Un phishing masivo basado en la automatización
La creciente penetración tecnológica en América Latina abrió las puertas de numerosos recursos muy útiles para la población, pero también le está dando oportunidades a los ciberestafadores. En el caso del phishing, los ataques se están multiplicando a raíz del uso de herramientas de automatización.
Los expertos señalan el uso de tecnologías como la RPA (Robotic Process Automation), que se desarrolló originalmente para uso empresarial. Además, los delincuentes estarían trabajando desde centros conocidos como “granjas de phishing”, desde donde se envían los ataques.
Estos espacios se caracterizan por la presencia de una gran cantidad de teléfonos celulares, controlados por una persona de manera remota. De esa forma se consigue aumentar el caudal de mensajes maliciosos.
En un informe de este año de la empresa de ciberseguridad Kapersky, se indica que esta organización es posible gracias a las alianzas entre hacktivistas y estafadores. Un indicador de que existen redes transnacionales de delito, que resultan muy difíciles de detectar por las fuerzas de seguridad de cada país.
Desde Kapersky han advertido que se bloquea un promedio de 3,5 millones de intentos de phishing en América Latina de modo diario. Esto quiere decir que las granjas de phishing son capaces de emitir unos 2.400 mensajes fraudulentos por minuto.
Deepfake: voces, video y otros recursos para confundir
Si para un usuario poco atento los mensajes de phishing siempre fueron difíciles de reconocer, ahora la complejidad ha subido de nivel. Es que, para perpetrar darle mayor credibilidad al engaño, los estafadores acceden a herramientas de inteligencia artificial que manipulan por completo la realidad.
A esto se le llama deepfake, e implica el uso de voz e imágenes de personas construidas con un software. Las víctimas pueden incluso recibir videos de celebridades que les notifican sobre premios u ofertas para generar confianza. De hecho, la escalada del phishing con IA ha dado lugar a redes sociales que difunden la estafa como si fuera verdadera.
Ante semejante confusión, resulta imprescindible saber que los estafadores generalmente apelarán al apuro para concretar el timo. Por eso, cualquier mensaje de tono urgente debe ser verificado antes de actuar, aun cuando parezca fidedigno.
Eso no es todo: se debe recordar que las entidades oficiales, como proveedores de servicios o bancos, nunca pedirán información confidencial ni por mensajes ni por teléfono. Ante la menor duda, lo mejor es ir directamente a la fuente, ya sea el sitio web o el contacto telefónico de la entidad que dice estar comunicándose.
