El phishing se reinventa: así aprovecha la IA una estafa que no pasa de moda
La mejora de la inteligencia artificial y su popularización, claves para que los ciberdelincuentes puedan profesionalizar sus ataques.
Ciberengaños durante las vacaciones: cómo reclamar si has caído en el 'phishing'
La mejora de la inteligencia artificial y su popularización se convierten en herramientas clave para que los ciberdelincuentes puedan profesionalizar sus ataques: serán más personalizados, dirigidos y eficientes. Y eso obliga a replantear la defensa en todos los frentes.
Tarjetas bancarias bloqueadas, paquetes retenidos en la aduana, multas impagadas a la DGT o incluso nuestra cuenta de Netflix en peligro: la lista de estafas de phishing se adapta a los tiempos en una constante búsqueda del elemento sorpresa que haga picar a más personas.
Atrás quedó ya el príncipe nigeriano que nos legaba una suculenta herencia. Y ya es difícil que a estas alturas alguien pague un puñado de bitcoins a un sujeto anónimo que nos amenaza con divulgar por la Red vídeos en actitud comprometedora que ha grabado de forma subrepticia tras secuestrar nuestra webcam.
No todos son phishing estrictamente: de algunos de estos timos solo (que no es poco) obtendrán algo de dinero. De otros, por desgracia para la víctima, se harán con el verdadero botín: datos de gran valor para estafas ulteriores.
Ingeniería social
La mayoría de los intentos de phishing caen por su propio peso. Estas técnicas de ingeniería social juegan con amenazas, miedo y velocidad para suplantar la identidad de personas y empresas reales que, supuestamente, solicitan a la víctima información para poner rápida solución a un problema acuciante.
En el caso de una tarjeta de crédito bloqueada por la inexistente detección de un movimiento sospechoso, el mensaje fraudulento pedirá al usuario, haciéndose pasar por su banco, datos esenciales para comprometerla de verdad.
Actuando bajo presión, miedo a ser estafados (sin saber que la verdadera estafa está delante, en forma de SMS, mensaje o incluso llamada telefónica) y las prisas, la víctima pica en el anzuelo y entrega casi voluntariamente todo su dinero al ciberdelincuente.
“Ante la más mínima sospecha de que nuestra cuenta bancaria o tarjetas estén en riesgo, y para bloquear el método de pago y obtener nuevas credenciales de seguridad, el usuario debe informar de inmediato a la entidad bancaria, de forma directa y proactiva, no al revés. Así podrán consultar los movimientos de su cuenta o tarjeta bancaria y comprobar si ha habido alguna transferencia de dinero que no haya realizado el usuario”, explica Miguel de Prada, abogado experto en Derecho Bancario y socio fundador de dPG Legal, un despacho de abogados especializado en la defensa de víctimas de delitos informáticos.
Es poco probable que un banco llame a un cliente para alertarle de un presunto intento de robo. Si eso sucede, lo más inteligente es colgar la llamada y realizar una nueva al número de teléfono que aparezca en la web oficial de la entidad (nunca al mismo número desde el que se haya recibido la primera llamada).
Estafas corrosivas
Como destaca Miguel de Prada, las estafas de phishing “se han profesionalizado mucho en los últimos años y se van adaptando a los avances de la tecnología en su propio beneficio para ser más eficientes, creíbles y peligrosas, porque cada vez pueden imitar mejor la web de la entidad bancaria u órgano oficial, de manera que el email que podemos recibir puede dar lugar a engaño, ya que es muy realista y similar al que podría enviarnos el banco”.
Por eso, recomienda “siempre asegurar antes de actuar”. Además, los ciberdelincuentes utilizan métodos cada vez más sofisticados para hacerse con nuestros datos personales. Y ahí cuentan con la inestimable ayuda de la tecnología.
El papel de la tecnología
A medida que avanza el mundo digital, los cacos amplían el abanico de herramientas a su disposición para hacer el mal.
“Cada nueva tecnología que sale al mercado es una nueva oportunidad para los ciberdelincuentes, ya que con ellas pueden mejorar sus estrategias para que sean ataques con más posibilidades de tener éxito”, asegura Martín Trullas, director del área de Advanced Solutions en Ingram Micro.
Una de las tecnologías con mayor potencial para el phishing es la inteligencia artificial, capaz de aprovechar grandes volúmenes de datos para trabajar por sí misma y generar creaciones difíciles de diferenciar de la realidad.
“Del mismo modo que la IA sirve para hacer deepfakes, generar textos o vídeos a partir de unas instrucciones o crear en pocos segundos una página web, también puede hacer todo ese trabajo creativo para personalizar ataques dirigidos a personas concretas a las que ‘hable’ con nombre y apellidos en una conversación más o menos fluida, en tiempo real y aprovechándose de los propios datos que obtenga por parte de la víctima durante el proceso”, destaca Martín Trullas.
Un panorama que pinta mal, pero ante el que no estaremos vendidos del todo.
Tecnología contra el crimen
Del mismo modo que herramientas como la IA servirán para mejorar los ciberataques, también se van a convertir en un pilar para su prevención e investigación.
“Es esencial contar con sistemas de seguridad adaptados a los nuevos tiempos, y eso para por recurrir a proveedores que analicen nuestras vulnerabilidades, tanto si somos empresas como si somos simples usuarios particulares, y nos proporcionen herramientas capaces de identificar y prevenir posibles estafas”, subraya Martín Trullas.
A pesar de ello, la seguridad absoluta no existe, por lo que la cifra de víctimas de phishing, lamentablemente, seguirá creciendo en los próximos años.
“Las buenas prácticas son esenciales para evitar caer en la trampa del phishing al pinchar en enlaces de procedencia sospechosa a los que se da credibilidad”, puntualiza Miguel de Prada, de dPG Legal.
Qué hacer si hemos 'picado'
Un asunto capital a la hora de buscar soluciones en caso de que no se haya podido evitar el ataque y se haya producido.
“Muchas personas creen que, si son víctimas de una estafa de phishing, las posibilidades de recuperar su dinero son caras, limitadas o nulas, por eso no se atreven a denunciar”, añade.
Pero despachos como dPG Legal consiguen un 90% de éxito a la hora de recuperar el dinero sustraído a las víctimas, ya que “el elemento de fraude convierte la conducta en un delito y elimina cualquier indicio de que la víctima actuó voluntariamente, abriendo la puerta a una reclamación exitosa, siempre que se pueda justificar el acceso al engaño, ya sea por un enlace, un mensaje o un correo”, explica.
Pero las entidades bancarias no siempre van a ponerlo fácil, así que la mejor defensa, al hablar de phishing, está en una combinación de buenas prácticas, tecnología para combatir el fraude y grandes dosis de sentido común para saber que cada minuto que pasamos con un dispositivo digital entre manos es una oportunidad de los ciberdelincuentes para liarnos. Nada nuevo bajo el sol, excepto las herramientas utilizadas para un timo que no pasa de moda.
También te puede interesar
Lo último