Con cualquier nueva tecnología, rápidamente surgen preocupaciones de que no sólo traerá beneficios para las empresas, sino también que podría hacer la vida más difícil a las empresas de seguridad. La IA generativa no es una excepción.
“Donde las personas y las organizaciones suelen perder más dinero es a través de todo tipo de fraude: ingeniería social, phishing, matanza de cerdos, estafas románticas, etc.”, afirmó Shannon Murphy, estratega de riesgos y seguridad global de Trend Micro. Pronunció su discurso en el evento Risk to Resilience en Amberes. Y este fraude evoluciona con la tecnología. Murphy también considera que la IA generativa afecta principalmente al phishing.
Correos electrónicos
Así es como tecnología como ChatGPT hace que sea más rápido y sencillo enviar un correo electrónico fraudulento creíble. Pensemos en particular en los correos electrónicos masivos enviados por príncipes nigerianos o en los correos electrónicos de phishing disfrazados de mensajes de mensajería. Dependiendo de la calidad, normalmente hacen clic en ellos personas que no son muy conocedoras de la tecnología. “Antes de que existieran grandes modelos de lenguaje, se podía capacitar a las personas para que notaran si el texto del correo electrónico era un poco extraño, si el dominio era incorrecto, etc.”, explicó Murphy. Pero con un servicio diseñado específicamente para imitar textos humanos, la cosa se vuelve mucho más difícil. ‘Si eres un hacker ruso, por ejemplo, ya no es un problema que no hables bien inglés. Así podrás escribir correos electrónicos fraudulentos de forma mucho más eficiente y mejor gracias a la IA generativa.’
Murphy señala que un atacante ni siquiera necesita una forma ilegal de estas herramientas. “No necesitas ‘DarkGPT’ para esto, simplemente puedes escribir un correo electrónico de este tipo de forma gratuita en la web clásica”. Esto significa que la formación en phishing también debe cambiar. “Ya no podrás culpar a las víctimas, pero tendrás que confiar más en la tecnología para detectar este tipo de correos electrónicos más rápidamente”.
“Gracias a esta calidad mejorada, la brecha entre este tipo de ‘phishing’ y ‘spear phishing’ se está reduciendo”, afirmó Shannon Murphy. Spear phishing es una forma de phishing que requiere más mano de obra, con la que los atacantes a menudo intentan atrapar a empleados específicos de una empresa con temas que podrían ser de su interés.
Hiperfalsos
Sin embargo, lo que apela aún más a la imaginación es el uso de los ‘deepfakes’ (hiperfalsos) con fines fraudulentos. “Aquí también se pueden utilizar herramientas legales”, aclaró Murphy. Con los deepfakes se crea un clon creíble de la voz o las imágenes de vídeo de una persona, por ejemplo el director ejecutivo de una empresa. Luego puedes hacerle decir lo que quieras. En política, este tipo de tecnología puede utilizarse para dañar reputaciones y, en el mundo empresarial, para defraudar. Por ejemplo, supongamos que recibe una llamada telefónica y la voz del ‘CFO’ le pide que realice una transferencia rápidamente.
‘Por lo tanto, nuestros procesos deben adaptarse. Entre otras cosas, en torno a la aprobación de transacciones financieras. Si está en la misma oficina, es útil volver a verificar. Pero mucha gente trabaja desde casa o para una multinacional con oficinas en diferentes países”, afirmó Murphy. ‘Por lo tanto, es necesario asegurarse de tener una lista de las personas involucradas, preferiblemente varias, que deben aprobarlo. Incluso puedes trabajar con términos de código para demostrar que realmente eres tú. La mayoría de las formas de combatir este tipo de ciberdelito no son de naturaleza tecnológica, sino que tienen que ver con procesos y cultura interna. “También debes asegurarte de que tus colegas se sientan lo suficientemente cómodos como para decir si no confían en un correo electrónico”.
