La ingeniería social es el vector de acceso inicial más común que los
cibercriminales explotan para vulnerar las organizaciones. Con cada año que
pasa, los ataques de ingeniería social se vuelven más grandes y audaces
gracias a los rápidos avances en inteligencia artificial.
En noviembre de 2022 se presentó el primer modelo de lenguaje grande (LLM),
que se lanzó de forma gratuita al público. En 2023, el mundo comenzó a
utilizar herramientas de IA generativa y los desarrolladores implementaron una
variedad de características y funcionalidades basadas en estos LLM. En la
segunda mitad de 2024, surgió rápidamente una nueva iteración: agentes
impulsados por IA («IA agéntica») que pueden actuar de forma autónoma
y ejecutar tareas complejas.
La forma en que los humanos interactúan y colaboran con la IA está dando un
gran paso adelante gracias a la IA con agentes, una tecnología emergente que transformará las industrias en todas partes. Combina nuevas formas de inteligencia artificial (IA), como los grandes modelos de lenguaje (LLM), la IA tradicional, como el aprendizaje automático, y la automatización empresarial para crear agentes de IA autónomos que pueden analizar datos, establecer objetivos y tomar medidas con una menor supervisión humana. Estos agentes son capaces de tomar decisiones y resolver problemas de forma dinámica, aprender y mejorar a través de cada interacción. Piense en agentes con inteligencia artificial que puedan planificar su próximo viaje al extranjero y hacer todos los arreglos de viaje; robots con apariencia humana que actúen como cuidadores virtuales de personas mayores; o especialistas en cadenas de suministro con inteligencia artificial que puedan optimizar los inventarios sobre la marcha en respuesta a las fluctuaciones de la demanda en tiempo real.
Gartner predice que, para 2028, un tercio de nuestras interacciones con la IA pasarán
de ser simplemente escribir comandos a interactuar plenamente con agentes
autónomos que pueden actuar según sus propios objetivos e intenciones.
La IA está ayudando a los cibercriminales a avanzar en sus campañas de
ingeniería social de múltiples maneras:
-
Phishing personalizado: los algoritmos de IA pueden analizar datos
de las redes sociales (como antecedentes, intereses, empleo, conexiones,
asociaciones, ubicación, etc.) y varias fuentes OSINT para crear ataques de
phishing más personalizados y convincentes. -
Contenido local y contextual: herramientas como ChatGPT, Copilot y
Gemini pueden ayudar a redactar correos electrónicos de phishing que sean
gramaticalmente correctos, contextualmente apropiados y traducidos a
cualquier idioma local. Se puede pedir a la IA que imite un estilo o tono de
escritura específico, y se pueden redactar correos electrónicos de phishing
de acuerdo con la respuesta o el comportamiento de un destinatario. -
Deepfakes realistas: los actores de amenazas utilizan herramientas
de deepfake para crear personajes virtuales falsos y clones de audio de
ejecutivos superiores y socios comerciales de confianza. Los deepfakes se
utilizan para convencer a los empleados de que compartan información
confidencial, transfieran dinero o concedan acceso a la red de una
organización.
Dado que la IA está disponible para todos, podemos esperar que los
ciberdelincuentes exploten la tecnología de IA agética con fines maliciosos. A
continuación, se enumeran algunos casos que explican cómo los
actores maliciosos utilizarán la IA agéntica como arma para lanzar ataques
de ingeniería social:
-
Amenazas automejorables, adaptativas e implacables: uno de los
beneficios clave de la IA agéntica es que contiene memoria y, por lo tanto,
posee la capacidad de aprender e improvisar. A medida que la IA interactúa
con más víctimas a lo largo del tiempo, recopila datos sobre qué tipos de
mensajes o enfoques funcionan mejor para ciertos tipos demográficos. Por lo
tanto, se adapta, perfecciona sus futuras campañas de phishing, haciendo que
cada ataque posterior sea más poderoso, convincente y efectivo. -
Phishing selectivo automatizado: la IA no agente se basa
esencialmente en indicaciones; los cibercriminales tienen que proporcionar
datos específicos para que la IA cree un correo electrónico de phishing. En
el nuevo orden mundial, los agentes de IA maliciosos recopilarán de forma
autónoma datos de los perfiles de las redes sociales, crearán mensajes de
phishing, los adaptarán a personas u organizaciones específicas y los
difundirán hasta lograr el resultado deseado. -
Orientación dinámica: los agentes de IA pueden actualizar o alterar
dinámicamente su discurso de phishing en función de la respuesta o la
ubicación del destinatario, o de cosas como días festivos, eventos o los
intereses del objetivo, lo que marca un cambio significativo de los ataques
de phishing estáticos a amenazas de ingeniería social altamente adaptables y
en tiempo real. Por ejemplo, si se ignora un mensaje de phishing, la IA
podría enviar un mensaje de seguimiento con un tono más urgente. -
Campañas de varias etapas: la IA con agentes puede orquestarse para
lanzar ataques de ingeniería social complejos y de varias etapas. En
términos más simples, se le puede indicar a la IA que aproveche los datos de
una interacción para impulsar la siguiente. Por ejemplo, un ataque de
phishing puede inducir a alguien a revelar una pequeña cantidad de
información en la primera ronda de ataques. La IA puede luego usar esa
información para trazar su próximo curso de acción. -
Ingeniería social multimodal: un agente de IA autónomo podría ir más
allá del correo electrónico y usar o combinar otros canales de comunicación,
como mensajes de texto, llamadas telefónicas o redes sociales, en sus
intentos de phishing. Por ejemplo, si se ignora un mensaje de correo
electrónico de phishing, la IA podría hacer una llamada de seguimiento
usando un audio o video deepfake para mejorar las posibilidades de que el
objetivo responda.
Puntos clave para las organizaciones
A continuación, se presentan algunas prácticas recomendadas para las
organizaciones:
-
Combatir la IA con IA, más IA y con IA…: para combatir los ataques
avanzados de ingeniería social, considere la posibilidad de crear o adquirir
un agente de IA que pueda evaluar los cambios en la superficie de ataque,
detectar actividades irregulares que indiquen acciones maliciosas, analizar
feeds globales para detectar amenazas de forma temprana, monitorear
desviaciones en el comportamiento de los usuarios para detectar amenazas
internas y priorizar la aplicación de parches en función de las tendencias
de vulnerabilidad. -
Aprovechar la concientización sobre seguridad basada en la IA: la
capacitación sobre seguridad es un componente no negociable para reforzar
las defensas humanas. Las organizaciones deben ir más allá de la
capacitación sobre seguridad tradicional y aprovechar herramientas que
puedan hacer cosas como asignar contenido atractivo a los usuarios en
función de las puntuaciones de riesgo y las tasas de falla, generar
dinámicamente cuestionarios y escenarios de ingeniería social en función de
las últimas amenazas, activar actualizaciones breves, etc. -
Preparar a los empleados para la ingeniería social con IA: la
intuición y la vigilancia humanas son fundamentales para combatir las
amenazas de ingeniería social. Las organizaciones deben redoblar sus
esfuerzos para fomentar una cultura de ciberseguridad, educar a los
empleados sobre los riesgos de la ingeniería social y su impacto en la
organización, capacitarlos para identificar y denunciar dichas amenazas y
brindarles herramientas que puedan mejorar el comportamiento en materia de
seguridad.
Obviamente, los cibercriminales no tardarán en aprovechar estos avances para
sus fechorías. Las organizaciones deben reforzar sus defensas para prepararse
para esta eventualidad mediante la implementación de sus propios agentes de
ciberseguridad basados en IA, aprovechando la capacitación en seguridad
basada en IA e inculcando un sentido de responsabilidad en materia de
seguridad.
Fuente:
SecurityWeek