Las herramientas de IA están haciendo que los ataques de ingeniería social sean aún más convincentes, y me temo que este es solo el comienzo
Wallace y Gromit de Nick Park fueron traídos al siglo XXI en diciembre de 2024 con su última aventura, Venganza la mayoría de las aves. La película desafía nuestra creciente dependencia de la tecnología inteligente en forma de un gnomo de jardín robótico, construido por Wallace para apoyar su negocio de jardinería, que luego es pirateado por las plumas de Kubrick-McGraw para sus propios fines nefastos.
Uno de los más interesantes pero menos comentados sobre partes de la película muestra a Gromit en su casa y que se le saluda lo que cree que es la voz tranquilizadora de Wallace, solo para enfrentarse a las plumas y al gnomo robótico.
La capacidad de la tecnología para imitar patrones lingüísticos, para clonar la voz de una persona y comprender y responder a las preguntas se ha desarrollado dramáticamente en los últimos años.
Esto no ha pasado desapercibido por los delincuentes y estafadores del mundo, con el resultado de que los ataques de ingeniería social no solo están en aumento, sino que son más sofisticados y atacados que nunca.
Amelia Clegg, abogado, abogados de BCL y Megan Curzon, asociada, abogados de BCL.
¿Qué son los ataques de ingeniería social?
La ingeniería social cibercriminal manipula un objetivo al crear una narrativa falsa que explota la vulnerabilidad de la víctima (ya sea su disposición a confiar en las personas, sus preocupaciones financieras o su inseguridad emocional). El resultado es que la víctima entre sí, pero voluntariamente, entrega dinero y/o información al autor.
La mayoría de las estafas de ingeniería social consisten en las siguientes etapas: (1) hacer conexión con la víctima (“los medios”), (2) construir una narrativa falsa (generalmente con un sentido de urgencia o limitación de tiempo) (“la mentira”) y (3) persuadir al objetivo para tomar la acción sugerida (por ejemplo, transfiriendo dinero o proporcionando detalles personales) (“La solicitud”).
Por lo general, la etapa 2 (la mentira) es donde la mayoría de las personas detectan la estafa de lo que es, ya que es difícil construir y mantener una narrativa convincente sin equivocarse eventualmente. Todos hemos recibido mensajes de texto, correos electrónicos o redes sociales Mensajes de personas que pretenden ser nuestros amigos, relaciones perdidas en países en los que nunca hemos estado, o nuestros bancos, pidiéndonos que les proporcionemos información personal, contraseñas o dinero.
Históricamente, tales comunicaciones eran fáciles de detectar, ya que llevaban las características de una estafa: saludos genéricos y firmas, errores de ortografía, gramática y sintaxis pobres o inusuales, formateo inconsistente o direcciones sospechosas.
Mentiroso, mentiroso, pantalones en … f-ai-re?
Sin embargo, la rápida sofisticación de la generación Herramientas AI significa que es cada vez más fácil para los delincuentes elaborar y mantener narrativas falsas plausibles para atrapar a sus víctimas; La “mentira” o la etapa 2 en la estafa de ingeniería social. Las empresas y las agencias de aplicación de la ley están luchando por mantenerse a la vanguardia de los avances tecnológicos y están trabajando duro para predecir los desarrollos que se utilizarán para la ingeniería social.
Un caso de uso potencial para la IA generativa en esta área es un sistema de mentira dinámica, que automáticamente contactaría e interactuaría con las posibles víctimas para ganarse su confianza antes de pasar a la Etapa 3 (la solicitud). Esto sería particularmente útil para estafas de “tarifa avanzada” o “419”. Estas estafas funcionan prometiendo a la víctima una gran participación en una gran cantidad de dinero a cambio de un pequeño pago inicial, que los reclamos de Fraudster se utilizarán para obtener la gran suma.
El sistema dinámico basado en la IA podría automatizar la primera ola de correos electrónicos de estafa para discernir si es probable que las víctimas potenciales “sean el cebo”. Una vez que el sistema identifica a un individuo comprometido que parece persuadido por la comunicación, puede pasar el control al operador humano para terminar el trabajo.
Otro desarrollo que ya ha ganado tracción es el uso de IA para clonar el habla humana y el audio para llevar a cabo tipos avanzados de ataques de phishing de voz, conocidos como “salpicaduras”. En los Estados Unidos, la Comisión Federal de Comercio ha advertido sobre los estafadores que utilizan tecnología de clonación de voz de IA para hacerse pasar por miembros de la familia y víctimas para transferir dinero con el pretexto de una emergencia familiar.
Las tecnologías actuales permiten que las voces se clonen en cuestión de segundos, y no hay duda de que con los avances en el aprendizaje profundo, estas herramientas solo se volverán más sofisticadas. Parece que esta forma de ingeniería social está aquí para quedarse.
¿Los androides sueñan con estafas eléctricas?
“Si hay un trabajo que la IA generativa no puede robar, es artista”. Así dijo Stephanie Carruthers, líder mundial de Cyber Range y Jefe People Hacker en IBM en 2022. Avance rápido 3 años y Carruthers ha cambiado su posición. Nuestras preocupaciones sobre la IA no solo se limitan al impacto en la fuerza laboral, sino que ahora se han expandido para incluir bots basados en IA que pueden crear ataques de ingeniería social a medida a objetivos específicos. Como señala Carruthers, “con muy pocas indicaciones, un modelo de IA puede escribir un mensaje de phishing solo para mí. Eso es aterrador”.
Actualmente, los actores de amenazas están utilizando AI como pasante de oficina o aprendiz para acelerar completar las tareas básicas necesarias para llevar a cabo ataques de ingeniería social. Carruthers y el equipo hicieron algunos experimentos y descubrieron que la IA generativa puede escribir un correo electrónico de phishing efectivo en cinco minutos. Para que un equipo de humanos escriba un mensaje comparable, lleva aproximadamente 16 horas, con una investigación profunda sobre los objetivos que representan gran parte de ese tiempo.
Además, la IA generativa puede producir más y más ataques a medida sin necesidad de un descanso, y de manera crucial sin conciencia. Philip K. Dick señaló que para su protagonista humano, Rick Deckard, “poseer y mantener un fraude tuvo una forma de desmoralizar gradualmente”, pero en un inframundo criminal cada vez más digital, mantener un fraude nunca ha sido más fácil.
Este artículo fue producido como parte del canal de Insights Expert de TechRadarpro, donde presentamos las mejores y más brillantes mentes de la industria de la tecnología en la actualidad. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarpro o Future PLC. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
