Las bases de los ataques de ingenier\u00eda social, manipulando a los humanos, podr\u00edan no haber cambiado mucho a lo largo de los a\u00f1os. Son los vectores, c\u00f3mo se implementan estas t\u00e9cnicas, los que est\u00e1n evolucionando. Y como la mayor\u00eda de las industrias en estos d\u00edas, la IA est\u00e1 acelerando su evoluci\u00f3n. <\/p>\n
Este art\u00edculo explora c\u00f3mo estos cambios est\u00e1n afectando a los negocios y c\u00f3mo pueden responder los l\u00edderes de ciberseguridad.<\/p>\n
Ataques de suplantaci\u00f3n: uso de una identidad confiable<\/h2>\n
Las formas tradicionales de defensa ya estaban luchando por resolver la ingenier\u00eda social, la “causa de la mayor\u00eda de las violaciones de datos” seg\u00fan Thomson Reuters. La pr\u00f3xima generaci\u00f3n de ataques cibern\u00e9ticos con IA y actores de amenaza ahora puede lanzar estos ataques con velocidad, escala y realismo sin precedentes. <\/p>\n
La antigua forma: m\u00e1scaras de silicona<\/h3>\n
Al hacerse pasar por un ministro del gobierno franc\u00e9s, dos estafadores pudieron extraer m\u00e1s de 55 millones de euros de m\u00faltiples v\u00edctimas. Durante las videollamadas, uno usar\u00eda una m\u00e1scara de silicona de Jean-Yves Le Drian. Para agregar una capa de credibilidad, tambi\u00e9n se sentaron en una recreaci\u00f3n de su oficina ministerial con fotos del entonces presidente Fran\u00e7ois Hollande. <\/p>\n
Seg\u00fan los informes, se contactaron m\u00e1s de 150 cifras prominentes y se les pidi\u00f3 dinero para pagos de rescate o operaciones antiterroristas. La mayor transferencia realizada fue de 47 millones de euros, cuando se inst\u00f3 al objetivo a actuar debido a dos periodistas celebrados en Siria.<\/p>\n
The New Way: Video Deepfakes<\/h3>\n
Muchas de las solicitudes de dinero fallaron. Despu\u00e9s de todo, las m\u00e1scaras de silicio no pueden replicar completamente el aspecto y el movimiento de la piel en una persona. AI Video Technology ofrece una nueva forma de intensificar esta forma de ataque. <\/p>\n
Vimos esto el a\u00f1o pasado en Hong Kong, donde los atacantes crearon un video profundo de un CFO para llevar a cabo una estafa de $ 25 millones. Luego invitaron a un colega a una llamada de videoconferencia. Ah\u00ed es donde el CFO Deepfake persuadi\u00f3 al empleado para que hiciera la transferencia multimillonaria a la cuenta de los estafadores.<\/p>\n
Llamadas en vivo: phishing de voz<\/h2>\n
El phishing de voz, a menudo conocido como Vishing, utiliza audio en vivo para construir sobre el poder del phishing tradicional, donde las personas son persuadidas de dar informaci\u00f3n que compromete a su organizaci\u00f3n. <\/p>\n
La antigua forma: llamadas telef\u00f3nicas fraudulentas<\/h3>\n
El atacante puede hacerse pasar por alguien, tal vez una cifra autorizada o desde otro contexto confiable, y hacer una llamada telef\u00f3nica a un objetivo. <\/p>\n
Agregan una sensaci\u00f3n de urgencia a la conversaci\u00f3n, solicitando que se realice un pago de inmediato para evitar resultados negativos, como perder acceso a una cuenta o perder una fecha l\u00edmite. Las v\u00edctimas perdieron $ 1,400 a esta forma de ataque en 2022.<\/p>\n
La nueva forma: clonaci\u00f3n de voz<\/h3>\n
Las recomendaciones tradicionales de defensa de Vishing incluyen pedirle a las personas que no hagan clic en los enlaces que vienen con solicitudes y devolverle a la persona a un n\u00famero de tel\u00e9fono oficial. Es similar al enfoque cero de confianza de Never Trust, siempre verifique. Por supuesto, cuando la voz proviene de alguien que la persona conoce, es natural que la confianza elude cualquier preocupaci\u00f3n de verificaci\u00f3n. <\/p>\n
Ese es el gran desaf\u00edo con la IA, con atacantes que ahora usan tecnolog\u00eda de clonaci\u00f3n de voz, a menudo tomada de unos pocos segundos de un objetivo que habla. Una madre recibi\u00f3 una llamada de alguien que hab\u00eda clonado la voz de su hija, diciendo que ser\u00eda secuestrada y que los atacantes quer\u00edan una recompensa de $ 50,000.<\/p>\n
Correo electr\u00f3nico de phishing <\/h2>\n
La mayor\u00eda de las personas con una direcci\u00f3n de correo electr\u00f3nico han sido un ganador de la loter\u00eda. Al menos, han recibido un correo electr\u00f3nico dici\u00e9ndoles que han ganado millones. Quiz\u00e1s con una referencia a un rey o pr\u00edncipe que pueda necesitar ayuda para liberar los fondos, a cambio de una tarifa inicial.<\/p>\n
La vieja manera: rociar y rezar<\/h3>\n
Con el tiempo, estos intentos de phishing se han vuelto mucho menos efectivos, por m\u00faltiples razones. Se env\u00edan a granel con poca personalizaci\u00f3n y muchos errores gramaticales, y las personas son m\u00e1s conscientes de ‘419 estafas’ con sus solicitudes de usar servicios espec\u00edficos de transferencia de dinero. Otras versiones, como el uso de p\u00e1ginas de inicio de sesi\u00f3n falsas para los bancos, a menudo se pueden bloquear utilizando protecci\u00f3n de navegaci\u00f3n web y filtros de spam, junto con la educaci\u00f3n de las personas para que revisen la URL de cerca. <\/p>\n
Sin embargo, el phishing sigue siendo la mayor forma de delito cibern\u00e9tico. El Informe del crimen en Internet del FBI 2023<\/a> El phishing\/suplantaci\u00f3n encontrado fue la fuente de 298,878 quejas. Para darle alg\u00fan contexto, el segundo m\u00e1s alto (violaci\u00f3n de datos personales) registr\u00f3 55,851 quejas.<\/p>\n AI est\u00e1 permitiendo a los actores de amenaza acceder a herramientas perfectas de palabras al aprovechar los LLM, en lugar de confiar en las traducciones b\u00e1sicas. Tambi\u00e9n pueden usar IA para lanzarlos a m\u00faltiples destinatarios a escala, con la personalizaci\u00f3n que permite la forma m\u00e1s espec\u00edfica de phishing de lanza. <\/p>\n Adem\u00e1s, pueden usar estas herramientas en varios idiomas. Estos abren las puertas a un n\u00famero m\u00e1s amplio de regiones, donde los objetivos pueden no ser tan conscientes de las t\u00e9cnicas de phishing tradicionales y qu\u00e9 verificar. La revisi\u00f3n de negocios de Harvard advierte que “todo el proceso de phishing se puede automatizar utilizando LLMS, lo que reduce los costos de los ataques de phishing en m\u00e1s del 95% al \u200b\u200btiempo que logran tasas de \u00e9xito iguales o mayores”.<\/p>\n La ciberseguridad siempre ha estado en una carrera armamentista entre defensa y ataque. Pero la IA ha agregado una dimensi\u00f3n diferente. Ahora, los objetivos no tienen forma de saber qu\u00e9 es real y qu\u00e9 es falso cuando un atacante est\u00e1 tratando de manipular su:<\/p>\n Estas son partes esenciales de la naturaleza humana y el instinto que han evolucionado durante miles de a\u00f1os. Naturalmente, esto no es algo que pueda evolucionar a la misma velocidad que los m\u00e9todos de actores maliciosos o el progreso de la IA. Las formas tradicionales de conciencia, con cursos y preguntas y respuestas en l\u00ednea, no est\u00e1n construidas para esta realidad alimentada por IA.<\/p>\n Es por eso que parte de la respuesta, especialmente mientras las protecciones t\u00e9cnicas a\u00fan se ponen al d\u00eda, es hacer que su fuerza laboral sea experiencia ataques simulados de ingenier\u00eda social<\/a>. <\/p>\n Debido a que sus empleados no recuerdan lo que usted dice acerca de defenderse de un ataque cibern\u00e9tico cuando ocurra, pero recordar\u00e1n c\u00f3mo los hace sentir. Para que cuando ocurra un ataque real, sean conscientes de c\u00f3mo responder.<\/p>\nLa nueva forma: conversaciones realistas a escala<\/h3>\n
Amenazas reinventadas significan reinventar las defensas <\/h2>\n
\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Ingenieria-social-con-IA-amenazas-reinventadas.png\")