La ingeniería social, no es nada nuevo en el campo de la ciberseguridad, pero actualmente se está viendo una gran transformación considerable en las tácticas y la sofisticación de sus métodos. Lo que antes era un simple intento de phishing por correo electrónico se ha convertido en un conjunto de estrategias avanzadas potenciadas por la tecnología y el acceso masivo a información personal en las distintas plataformas digitales (redes sociales).
¿Como ha evolucionado hoy en día la ingeniería social?, pues podríamos decir que de la siguiente forma:
Los ataques son más personalizados: Los ciberdelincuentes han perfeccionado sus métodos, recopilando datos de fuentes abiertas y redes sociales para crear ataques que se adaptan específicamente a las víctimas. Esto permite que los mensajes fraudulentos suplanten mensajes legítimos, superando muchas de las defensas tradicionales basadas en el reconocimiento de patrones sospechosos.
Ingeniería social mediante IA: Con la ayuda de herramientas basadas en inteligencia artificial, los atacantes pueden automatizar la creación y despliegue de campañas de ingeniería social. Esto les permite lanzar ataques masivos y al mismo tiempo personalizar los mensajes para incrementar su efectividad y tasa de éxito.
Evolución de los ataques
La IA permite a los ciberdelincuentes crear correos electrónicos y mensajes extremadamente realistas. Mediante técnicas de aprendizaje automático, los atacantes pueden estudiar el comportamiento de la víctima objetivo y generar mensajes personalizados. Esto les permite diseñar ataques dirigidos (phishing selectivo) que parecen provenir de fuentes de confianza, como colegas de trabajo, superiores o incluso amigos personales.
Además, la IA está habilitando la automatización de estos ataques, lo que significa que los delincuentes pueden enviar millones de correos electrónicos en muy poco tiempo, ajustando los detalles para que se adapten a los hábitos, horarios y comportamientos de las víctimas.
La IA generativa es una tecnología que puede crear contenido auténtico, como texto, voz o imágenes, en función de datos o ejemplos tiene usos legítimos, pero también se utiliza para fines maliciosos, lo que hace que los ataques de ingeniería social sean más difíciles de detectar y más efectivos.
La IA generativa también es capaz de imitar la voz de una persona a partir de grabaciones, lo que permite a los delincuentes realizar llamadas telefónicas para engañar a las víctimas haciéndose pasar por una figura de autoridad o un conocido. Este tipo de ataque, conocido como vishing, es cada vez más común y eficaz, ya que las personas tienden a confiar más en una llamada telefónica que en un correo electrónico.
Aquí también entran los deepfakes , en donde muchas veces hacen que las campañas de ingeniería social sean aún más creíbles. Estos videos falsos, generados por IA, pueden mostrar a personas diciendo o haciendo cosas que en realidad nunca ocurrieron. Los ciberdelincuentes podrían utilizar esta tecnología para persuadir a los empleados de que sus superiores están solicitando información confidencial, lo que aumenta significativamente el riesgo de filtraciones de datos.
Herramientas y Recursos
Existen numerosas herramientas que los ciberdelincuentes pueden utilizar para llevar a cabo ataques de ingeniería social. Algunas de las más destacadas incluyen:
- ElevenLabs: Software de clonación de voz que genera locuciones realistas.
- PlayHT: Herramienta de clonación de voz.
- Vidnoz: Generador de voz basado en IA.
- Miocreate: Software de generación de voz.
- F5TTS: Herramienta de código abierto para conversión de texto a voz.
- Picsart: Herramienta para la creación de contenido visual.
Los atacantes pueden usar estas herramientas para crear videos y audios falsos pero convincentes, aumentando la credibilidad de sus ataques. Además, los ataques multi-vector, que combinan varios canales de comunicación, dificultan aún más la detección y defensa.
Para los ataques de ingeniería social, se podrían usar diversas herramientas como las siguientes:
Otras herramientas para crear deepfakes:
La evolución de la ingeniería social ha transformado radicalmente el panorama de la ciberseguridad. La personalización de ataques, el uso de inteligencia artificial y la automatización han hecho que los ataques sean más efectivos y difíciles de detectar. Como profesionales de ciberseguridad, es crucial mantenerse actualizados sobre estas amenazas y desarrollar estrategias para proteger a las organizaciones y a los individuos contra estos ataques sofisticados.
Por ejemplo, ha habido casos famosos como el robo de 24 millones de euros a través de un deepfake:
https://www.elconfidencial.com/tecnologia/novaceno/2024-02-05/estafa-inteligencia-artificial-deepfake-24-millones_3824370/
Ejemplos de ataques utilizando la IA
- Ejemplo 1: Phishing Selectivo con IA
Un atacante podría usar IA para analizar las redes sociales y otras fuentes de información pública para recopilar datos sobre una víctima específica. Luego, la IA podría generar un correo electrónico muy convincente que parezca provenir de un colega o superior, solicitando información confidencial o acceso a sistemas internos. La personalización y el realismo del mensaje harían que sea difícil de detectar como un ataque.
- Ejemplo 2: Vishing con Clonación de Voz
Utilizando herramientas de clonación de voz como ElevenLabs o PlayHT, un atacante podría crear una grabación de voz que imite a un superior de la víctima. Luego, el atacante podría realizar una llamada telefónica (vishing) haciéndose pasar por esa persona y solicitar información sensible o realizar una acción específica, como transferir fondos.
- Ejemplo 3: Deepfakes para Manipulación Visual
Los deepfakes pueden ser utilizados para crear videos falsos en los que una figura de autoridad aparente estar solicitando información o acciones específicas. Por ejemplo, un video falso de un CEO pidiendo a los empleados que compartan sus credenciales de acceso para una "auditoría urgente". La autenticidad aparente del video podría engañar a muchos empleados.
- Ejemplo 4: Chatbots Maliciosos
Un atacante podría desplegar un chatbot malicioso en una plataforma de mensajería o en un sitio web. Este chatbot, impulsado por IA, podría interactuar con las víctimas de manera convincente, ganándose su confianza y eventualmente solicitando información confidencial o redirigiéndolos a sitios web de phishing.
- Ejemplo 5: Ataques Multi-Vector
Un ataque podría comenzar con un correo electrónico de phishing que lleva a la víctima a un sitio web falso. Luego, el atacante podría seguir con una llamada telefónica utilizando una voz clonada para reforzar la legitimidad del correo electrónico inicial. Finalmente, podrían enviar un mensaje en redes sociales para completar el engaño. Esta combinación de canales hace que el ataque sea más creíble y difícil de detectar.
Estos ejemplos muestran cómo la inteligencia artificial puede ser utilizada para hacer que los ataques de ingeniería social sean más sofisticados y efectivos.
Consejos y Recomendaciones para Enfrentar Ataques Avanzados de Ingeniería Social Impulsados por IA
- Educación y concienciación continua
Concienciar y formar a los empleados es muy importante ya que el factor humano es el eslabón más débil. La IA puede generar correos electrónicos y mensajes muy convincentes, por lo que es crucial que todos los empleados estén al tanto de las señales de alarma y las técnicas más recientes. Las organizaciones deben implementar programas de formación regular y obligatoria para sus empleados, enfocándose en las técnicas más comunes y avanzadas de ingeniería social, como el phishing, el vishing y el pretexting. Las simulaciones de ataques, como ejercicios de phishing controlado, son particularmente efectivas para que los empleados puedan reconocer y reaccionar adecuadamente a intentos reales.
Se recomienda realizar simulaciones de ataques de ingeniería social. Con herramientas avanzadas, es posible simular ataques que empleen tácticas de IA. Esto no solo prueba la resistencia del personal, sino que también educa en tiempo real sobre cómo identificar y responder a estos ataques.
- Verificación en Múltiples Pasos
Implementar la autenticación multifactor (MFA). Los ataques basados en IA pueden comprometer credenciales con facilidad, pero añadir capas adicionales de verificación puede detenerlos. MFA añade una barrera significativa contra estos intentos.
- Uso de Herramientas de Detección de Fraude
Es importante también adoptar soluciones de seguridad que utilicen IA. Para combatir IA con IA, las herramientas que detectan comportamientos anómalos pueden ser muy efectivas. Estas herramientas pueden identificar patrones de comportamiento inusuales y alertar sobre posibles ataques de ingeniería social.
- Evaluaciones Regulares de Seguridad
La ciberseguridad es un campo en constante cambio, y las técnicas de los atacantes evolucionan rápidamente. Por eso, es de vital importancia realizar evaluaciones de seguridad regulares, actualizar las políticas internas y las tecnologías empleadas, y adaptar los programas de capacitación conforme van surgiendo nuevas amenazas y vectores de ataque.
- Proteger la Información Sensible
Se recomienda siempre limitar el acceso a la información sensible. Los atacantes de ingeniería social a menudo buscan información que pueda ser utilizada para ganar la confianza de sus víctimas. Hay que asegurarse de que solo el personal autorizado tenga acceso a información crítica y se utilicen soluciones de cifrado.
- Fomentar la Cultura de la Ciberseguridad
Crear y mantener una cultura de seguridad es fundamental para que todos los empleados sientan que la protección de la información es una responsabilidad compartida. Esto incluye comunicaciones abiertas sobre las amenazas y la promoción constante de buenas prácticas de ciberseguridad en todas las áreas del trabajo. También, es importante incentivar a los empleados para que reporten incidentes o actividades sospechosas sin temor a represalias es un paso clave.
- Vigilancia de Redes Sociales y Plataformas Públicas
Los atacantes a menudo recolectan información personal y profesional de estas fuentes. Concienciar que los empleados sean conscientes de los riesgos de compartir demasiada información en las redes sociales o distintas plataformas públicas.
- Actualización Constante de Software y Herramientas
Mantener todo el software y herramientas de seguridad actualizadas. Las vulnerabilidades en software no actualizado u obsoleto pueden ser explotadas por ataques de IA. Asegurarse de que todas las herramientas de seguridad se mantengan al día con los últimos parches y actualizaciones.
Conclusión
La ingeniería social ha evolucionado, impulsada por la IA, permitiendo realizar ataques más personalizados y difíciles de detectar, utilizando herramientas como deepfakes y clonación de voz. Los ciberdelincuentes emplean múltiples vectores de ataque, haciendo esencial que los profesionales de ciberseguridad desarrollen estrategias robustas para mitigar estos riesgos que van en aumento.
