En varios de nuestros blogs hemos hablado sobre ciberseguridad, malware e incluso hemos podido dar algunos consejos de primera mano para no ser victimas de los ciberdelincuentes.
¿Sabías que es posible crear una página de phishing con chats de IA generativa? Ojo, no queremos promover este tipo de actividades, pero secreto tampoco es que la mayoría de estudiantes y hasta programadores senior, ahora usan ChatGPT, Copy.ia, Askcodi y muchas más para apoyarse en sus trabajos. Tanto así que hasta cibercriminales lo hacen.
Y aunque la IA no peca por inocente, el ingenio humano es aun mayor y logra aprovecharse de ella. Iniciemos así este viaje hipotético por el phishing y la IA.
La analogía de un pez y un cliente
Pongámonos en contexto, últimamente recibimos muchos mensajes para estar atentos y protegernos de los peligros cibernéticos, pero el phishing no es nada reciente. En 1996 se comenzó a usar el termino “fishing” para definir lo que era, buscar un consumidor que cayera ante una carnada. Así como el pez muerde el anzuelo, una persona es engañada para otorgar sus datos.
No se sabe del todo cómo de fishing (pescar) cambió a phishing, pero funciona para diferenciar ambas acciones y fonéticamente, es muy similar.
Y aunque al principio la idea era llamar la atención de un consumidor usando el nombre de alguna marca, pronto los hackers se dieron cuenta de que podían dirigirse hacia una gran cantidad de personas en una empresa.
Así de fácil es hacer phishing
Incluso hacer páginas y correos de phishing tiene su trabajo, posiblemente sabes que todo esto funciona bajo códigos de programación y demás que, al pasar al frontend, es bastante intuitivo para que un usuario navegue (y se hunda en los engaños de los ciberdelincuentes).
En ManageEngine LATAM nos pusimos en el ejercicio de usar una IA para crear un código HTML. Y aunque sí es fácil, tiene sus truquitos.
Las IAs también están entrenadas para saber qué tipo de preguntas les estás haciendo, si la IA encuentra alguna palabra que le suene a un crimen o una estafa, te dice que no puede darte una respuesta ya que puede ser utilizada para delitos cibernéticos. Claro que lo dice mucho más formal y amistoso.
Indagamos un poco más y finalmente, Bard nos dió esta respuesta:
También nos contó un par de cosas más, pero mejor no entramos en detalle. Este código nos crea una platilla muy parecida a la página de inicio de sesión de Gmail.
Y así como cuando a veces recibes mensajes de texto que dicen “Intento de inicio de sesión fallido, si no fuiste tu, entra aquí.”, es solo cuestión de un clic para que estés dando tus datos y ellos tengan acceso a todo.
Por eso también Bard nos hizo la advertencia de usar el código con precaución. No lo usen, por favor.
1, 2, 3… ¡Adiós datos!
Pasemos esto a un caso real e incluyámosle otra amenaza actual, los insiders.
Imagina que tienes un compañero de trabajo que, por alguna razón, está molesto con la empresa, es contactado por un ciberdelincuente que le propone un trato: ayudar a planificar un correo masivo para los empleados de la empresa, a cambio de una gran suma de dinero. Pues tu compañero quiere renunciar, le parece un buen trato mientras busca otro trabajo y acepta.
Entonces le pasa al hacker una lista con todos los correos empresariales, al día siguiente llega a esos correos un mensaje de error: Has tenido un intento de inicio de sesión fallido, ¿fuiste tu?
Esto enciende las alarmas y por creer que están evitando fraudes, caen en la trampa. Un par de días después toda la infraestructura empresarial falla: datos robados, dispositivos con troyanos e incluso un par capturados por el ransomware.
Un escenario fuerte, pero no imposible. ¿Qué crees que pasaría si, además de poner en problemas a la organización, también has guardado información personal en tus dispositivos corporativos?
Bueno, tendríamos problemas.
El panorama para LATAM en 2023
La Universidad UTH Florida nos lo deja claro: 69% de las organizaciones de América Latina sufrió algún incidente de seguridad en el 2023. Los países más afectados por campañas de phishing fueron Ecuador con un 8%, Costa Rica con 7,2% y Colombia con 5,7%. Aun así, por más que se sabe que esto pasa, gran cantidad de empresas creen que el presupuesto no es suficiente.
Claro que para que el phishing funcione, también debe existir un poco de ingeniería social. Ahí es donde debemos estar más atentos. Es común en el ser humano confiar en su instinto para estar siempre protegido, cuando el cerebro recibe algo fuera de lo normal, el afán se apodera.
Siempre que recibas algún mensaje sospechoso, léelo 2 veces. ¿Hay algún error de ortografía o diseño? ¿Te pregunta por una acción que no has realizado? Si dudas, lo mejor va a ser llamar a las líneas oficiales preguntando por el estado actual de lo que indica el mensaje.
Ya conociendo el panorama actual del phishing, ¿estás preparado para afrontar el reto?