Mano robótica sobre fondo de código binario, con el texto Phishing con IA: Amenazas y Soluciones Efectivas. Descubre cómo protegerte.
El phishing con IA es una amenaza real. Descubre las mejores soluciones para protegerte.
Seguridad
·10 Minutos de lectura

Phishing con Inteligencia Artificial: Cómo están cambiando las Ciberamenazas

Las amenazas informáticas siempre han estado alineadas con las nuevas tecnologías. Una prueba tangible es la capacidad del phishing de aprovechar el potencial de la inteligencia artificial para hacer aún más efectivos los ataques contra usuarios y empresas, que cada vez son más afectadas por estas amenazas.

Las nuevas fronteras del cibercrimen son infinitas e incluyen el envío de mensajes de texto y ataques deepfake a través del voice phishing (vishing) o smishing (phishing por SMS).

Con el phishing con IA, todo se vuelve más difícil de gestionar debido a correos electrónicos indistinguibles de los reales, mensajes de voz que imitan la voz de un responsable capaz de desbloquear recursos económicos y chatbots que fingen ser el servicio de atención al cliente de un banco.

Afortunadamente, podemos analizar el fenómeno del phishing impulsado por IA, comprender cómo funciona y por qué las pequeñas y medianas empresas están más expuestas a los robos por phishing con IA.

¿Qué es el Phishing con IA o basado en Inteligencia Artificial?

Comencemos con una definición básica: el phishing es un tipo de amenaza basada en ingeniería social que utiliza mensajes de correo electrónico para emular mensajes enviados por instituciones y oficinas que pueden ejercer influencia en el destinatario. Todo esto para obtener credenciales y descargar malware.

Robot ejecutando un ataque de phishing con IA, mostrando un correo electrónico fraudulento en su laptop. Alto riesgo de spam, scam, spyware y malware.
La IA y el phishing: nuevas formas de cibercrimen. Protege tu información.

La evolución ha llevado a aprovechar las llamadas telefónicas y los SMS, pero con la inteligencia artificial asistimos a un cambio de ritmo. Con el phishing con IA, cada paso es más difícil de desenmascarar antes de que cause daños.

¿Algunos ejemplos de los archivos de ciberseguridad contra el phishing con IA para PYME?

  • Antes te dabas cuenta de la estafa por los errores tipográficos. Hoy, la IA genera textos sin errores gramaticales. Distinguirlos de los de un mensaje oficial es realmente difícil.
  • Los mensajes se personalizan con datos obtenidos en línea. Esto permite aumentar la eficacia de las amenazas y dificulta cada vez más el trabajo de la ciberseguridad.
  • Los deepfake de audio y vídeo crean ataques imposibles de detectar. Y sin un análisis cuidadoso de los detalles, se crean bases sólidas para generar un fraude de CEO con IA.

¿Qué significa esto? La respuesta es simple y obvia: para las PYME, que ya son un objetivo privilegiado de los hackers por la falta de recursos y equipos de TI dedicados, la situación en términos de ciberseguridad se vuelve crítica.

Para leer: ¿Cómo saber si me han hecho phishing y qué hacer?

Ejemplos concretos de phishing con IA

Para comprender mejor cómo funciona el phishing con IA y cómo puede dañarte a ti o a una pequeña o mediana empresa, debemos evaluar algunos ejemplos ya registrados en el mundo.

Teniendo muy presente que hoy la elusión de los controles de seguridad por parte de los estafadores es cada vez más eficaz. Según keepnetlabs.com, el 80% de los sitios de phishing utilizan técnicas de ofuscación basadas en inteligencia artificial, con un aumento del 47,3% en los intentos de eludir las puertas de enlace de correo electrónico.

Uno de los ejemplos más comunes de phishing implementado por la IA es el clásico fraude del CEO con deepfake de voz. ¿Qué sucede en estos casos? Un empleado de una empresa recibe una llamada que parece provenir del director general, con una solicitud urgente de transferencia de fondos. ¿Resultado? Daños económicos considerables.

Los protagonistas del caso Arup (2024) lo descubrieron por las malas, viendo desaparecer 25 millones de dólares. La firma de ingeniería británica que diseñó la Ópera de Sídney fue estafada gracias a la IA. Un empleado de Hong Kong fue convencido de participar en una videollamada donde creía ver al CFO y otros colegas, pero eran deepfakes que convencieron al empleado de realizar 15 pagos.

Otro ejemplo de phishing con IA es el uso de correos electrónicos personalizados gracias a datos públicos en LinkedIn. Los bots guiados por la inteligencia artificial extraen información y crean correos electrónicos que parecen provenir de socios o proveedores reales. Para hacerlo, basta con una herramienta similar a ChatGPT; el resultado es perfecto para el engaño.

¿Por qué las PYME son el objetivo ideal?

Las pequeñas y medianas empresas representan un objetivo ideal para los ciberdelincuentes porque, en general, aún no logran visualizar con claridad la importancia de la ciberseguridad. Muchas actividades tienen recursos económicos considerables, pero una escasa actitud hacia la seguridad informática.

A veces disponen de menos recursos económicos dedicados a la seguridad de TI; en otros casos, falta la sensibilidad y el conocimiento de los riesgos. A menudo, las empresas no tienen un gerente de TI interno o no utilizan las herramientas adecuadas para analizar las fallas y detectar las amenazas. Claro, atacar a una multinacional permite dar un gran golpe, pero en muchos casos nos encontramos con empresas que invierten en ciberseguridad.

Con las PYME se alcanza el equilibrio adecuado para los malintencionados que difunden estafas creadas con IA generativa: los empleados reciben poca formación sobre las nuevas amenazas digitales y no se activan las protecciones necesarias a pesar de las consecuencias, como la pérdida de datos, la interrupción de los servicios con solicitudes de indemnización, los daños a la reputación de la marca y los problemas legales relacionados con el GDPR.

Técnicas de IA utilizadas en los ataques de phishing

El phishing inteligente y personalizado con la ayuda de la IA es una amenaza real y sólida. Esto se debe a que los ciberdelincuentes aprovechan diversas herramientas de inteligencia artificial para mejorar los ataques. ¿Algunos ejemplos? Esto es lo que hay que monitorear para defenderse del phishing con IA.

Mano sujetando un teléfono mostrando la palabra "deepfake" rodeada de términos relacionados con noticias falsas e IA. Ejemplo de un ataque deepfake.
Un ejemplo claro de cómo la IA se usa para crear deepfakes y difundir desinformación.
  • Deepfakes de voz

Simulan la voz humana, como la de un CEO o un gerente con privilegios, para presionar a los empleados a transferir fondos. Esta técnica se conoce como fraude del CEO con inteligencia artificial y puede provocar problemas importantes.

  • Correos electrónicos escritos con PNL

El acrónimo significa Procesamiento del Lenguaje Natural. Esto significa que se generan textos creíbles, coherentes y sin errores, quizás alimentados con datos encontrados en línea o en la deep web para hacer el mensaje aún más verosímil.

  • Chatbots fraudulentos

En este caso, hablamos de sitios web diseñados para emular los oficiales, con chatbots que guían a la víctima para que introduzca datos sensibles. ¿Objetivo final? Robar información que permita robar sumas considerables de dinero.

  • Phishing multicanal

La inteligencia artificial en el contexto de las amenazas informáticas y la ingeniería social permite crear un panorama particularmente complejo, generando una combinación de correos electrónicos, SMS y llamadas automatizadas generadas por IA.

Cómo defenderse del phishing impulsado por IA

La creciente sofisticación de los ataques que combinan phishing e inteligencia artificial es una amenaza real, pero existen medidas concretas para reducir los riesgos.

La primera solución es la que siempre nos permite identificar los riesgos relacionados con otras amenazas digitales, como el ransomware: la formación continua de los empleados; el factor humano se vuelve decisivo para evitar caer en la trampa de los hackers.

Por ejemplo, puedes tomar la costumbre de verificar siempre las solicitudes particulares a través de un canal diferente. Si recibes una solicitud económica urgente por correo electrónico, llama a la persona que firmó la solicitud utilizando un número de teléfono que conoces, no el del correo electrónico.

Manos tecleando en un portátil con alertas de phishing con IA. Aprende a defenderte de los ataques de ingeniería social.
Protege tu información: Consejos para evitar el phishing impulsado por IA.

En este sentido, recordemos que las empresas virtuosas complementan la formación del personal con políticas empresariales virtuosas para unificar la acción ante correos electrónicos o llamadas telefónicas sospechosas. Todo ello se prueba mediante ejercicios periódicos que simulan ataques de phishing con IA para comprobar si hay margen de mejora.

¿Cómo defenderse del phishing con IA? También tenemos la autenticación multifactorial (MFA) en nuestra caja de herramientas. Este mecanismo de seguridad permite reducir el impacto en caso de robo de credenciales debido a un correo electrónico de phishing que ha logrado superar las defensas.

Y si la IA aumenta el nivel de dificultad cuando se alía con los hackers, podemos recordar que también existe la posibilidad de obtener ayuda para defenderse.

Las opciones de detección avanzada, por ejemplo, son capaces de reconocer las anomalías con la ayuda de la inteligencia artificial. Por supuesto, todo esto se puede optimizar gracias a un asesoramiento informático personalizado para PYME. ¿Quieres saber cómo?

El papel del asesoramiento informático contra el phishing

Siempre es difícil para una pequeña o mediana empresa combatir el phishing y anticiparse a sus amenazas por sí sola, sin apoyo externo. El asesoramiento informático para la ciberseguridad permite resolver este problema, es decir, afrontar las amenazas con personas competentes.

El apoyo que puedes obtener:

  • Análisis de vulnerabilidades: quien las vive y replica a diario no las nota, pero quien está especializado en este sector puede ayudar a la empresa a obtener lo que desea, es decir, un informe claro sobre las vulnerabilidades internas en caso de phishing.
  • Sistemas de seguridad actualizados: para proteger tu empresa no basta con activar software, también debes actualizarlo. En concreto, el asesor informático puede ayudar a la empresa a elegir las mejores soluciones y actualizarlas en el momento adecuado.
  • Formación del personal: hemos dicho que el conocimiento del phishing es fundamental. Es un aspecto fundamental para anticipar los problemas que puedan surgir. Un asesor informático es la persona adecuada para crear un recorrido guiado.

Luego existe la posibilidad de activar un monitoreo constante de las amenazas emergentes gracias al trabajo de consultoría. Digámoslo claramente: un socio de TI experimentado ayuda a los CEO y gerentes de TI a transformar la seguridad de un costo en una inversión.

Lectura recomendada: ¿La IA reemplazará a los pentesters?

¿Cómo gestionar mejor el phishing con IA?

Improvisar nunca es una buena idea, especialmente si tienes la responsabilidad de los datos de una pequeña o mediana empresa, objetivo preferido de los hackers que trabajan con phishing e inteligencia artificial. Este no es un riesgo hipotético, es una amenaza real que afecta a las empresas con ataques sofisticados.

La buena noticia es sencilla: con la combinación adecuada de tecnología, formación y asesoramiento informático, es posible defenderse. Si eres CEO o gerente de TI de una pequeña o mediana empresa, no puedes perder de vista el objetivo: este es el momento adecuado para evaluar el nivel de seguridad de tu empresa y prevenir las nuevas amenazas.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda