{"id":1662200,"date":"2025-04-09T16:06:59","date_gmt":"2025-04-09T16:06:59","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-ia-adorable-se-encuentra-mas-vulnerable-a-vibescamming-permitiendo-a-cualquier-persona-construir-paginas-de-estafas-en-vivo\/"},"modified":"2025-04-09T16:07:05","modified_gmt":"2025-04-09T16:07:05","slug":"la-ia-adorable-se-encuentra-mas-vulnerable-a-vibescamming-permitiendo-a-cualquier-persona-construir-paginas-de-estafas-en-vivo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-ia-adorable-se-encuentra-mas-vulnerable-a-vibescamming-permitiendo-a-cualquier-persona-construir-paginas-de-estafas-en-vivo\/","title":{"rendered":"La IA adorable se encuentra m\u00e1s vulnerable a Vibescamming: permitiendo a cualquier persona construir p\u00e1ginas de estafas en vivo"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Amable<\/a>se ha encontrado que una plataforma generada de inteligencia artificial (AI) que permite crear aplicaciones web de pila completa utilizando indicaciones basadas en texto, es la m\u00e1s susceptible a los ataques de jailbreak, lo que permite que los cibercrooks novatos y aspirantes establezcan p\u00e1ginas de cosecha de credenciales luces.<\/p>\n

“Como una herramienta especialmente dise\u00f1ada para crear e implementar aplicaciones web, sus capacidades se alinean perfectamente con la lista de deseos de cada estafador”, Nati Tal de Guardio Labs dicho<\/a> En un informe compartido con The Hacker News. “Desde p\u00e1ginas de estafas perfectas de p\u00edxeles hasta alojamiento en vivo, t\u00e9cnicas de evasi\u00f3n e incluso paneles de administraci\u00f3n para rastrear datos robados, lo que Levable no solo particip\u00f3, se realiz\u00f3. Sin barandillas, no dudas”.<\/p>\n

La t\u00e9cnica ha sido nombrada en c\u00f3digo Vibescamming<\/strong> -Una codificaci\u00f3n de VIBE de juego sobre el t\u00e9rmino, que se refiere a una t\u00e9cnica de programaci\u00f3n dependiente de IA para producir software describiendo la declaraci\u00f3n del problema en unas pocas oraciones como un aviso para un modelo de lenguaje grande (LLM) sintonizado para la codificaci\u00f3n.<\/p>\n

El abuso de los chatbots de LLM y AI para fines maliciosos no es un fen\u00f3meno nuevo. En las \u00faltimas semanas, la investigaci\u00f3n ha demostrado c\u00f3mo los actores de amenaza est\u00e1n abusando de herramientas populares como Operai Chatgpt y Google Gemini para ayudar con el desarrollo de malware, la investigaci\u00f3n y la creaci\u00f3n de contenido.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Adem\u00e1s, los LLM como Deepseek tambi\u00e9n se han encontrado susceptibles a ataques r\u00e1pidos<\/a> y t\u00e9cnicas de jailbreaking<\/a> Como el juez de Likert, Crescendo y el deleite enga\u00f1oso que permiten a los modelos omitir la seguridad y las barandillas \u00e9ticas y generar otro contenido prohibido. Esto incluye creaci\u00f3n<\/a> Phishing correos electr\u00f3nicos, muestras de keylogger y ransomware, aunque con solicitaciones y depuraci\u00f3n adicionales.<\/p>\n

En un informe publicado el mes pasado, Symantec, propiedad de Broadcom, revel\u00f3<\/a> que opadai’s Operador<\/a>un agente de IA que puede llevar a cabo acciones basadas en la web en nombre del usuario, podr\u00eda armarse para automatizar todo el proceso de encontrar direcciones de correo electr\u00f3nico de personas espec\u00edficas, crear scripts de PowerShell que pueden recopilar informaci\u00f3n del sistema, escondi\u00e9ndolos en Google Drive y redactar y enviar correos electr\u00f3nicos de phishing a esas personas y enga\u00f1arlos para ejecutar el script.<\/p>\n

\"Ai<\/a><\/div>\n

La creciente popularidad de las herramientas de IA tambi\u00e9n significa que podr\u00edan reducir significativamente las barreras de entrada para los atacantes, permiti\u00e9ndoles aprovechar sus capacidades de codificaci\u00f3n para crear malware funcional con poca o no experiencia t\u00e9cnica propia.<\/p>\n

Un caso en el ejemplo es un nuevo enfoque de jailbreaking denominado Mundo inmersivo<\/a> Eso permite crear un robador de informaci\u00f3n capaz de cosechar credenciales y otros datos confidenciales almacenados en un navegador de Google Chrome. La t\u00e9cnica “usa ingenier\u00eda narrativa<\/a> Para evitar los controles de seguridad de LLM “creando un mundo ficticio detallado y asignando roles con reglas espec\u00edficas para evitar las operaciones restringidas.<\/p>\n

El \u00faltimo an\u00e1lisis de Guardio Labs lleva un paso m\u00e1s all\u00e1, descubriendo que plataformas como Claude adorable y antr\u00f3pica, en menor medida, podr\u00edan armarse para generar campa\u00f1as de estafa completas, completadas con plantillas de mensajes de texto SMS, entrega de SMS basada en Twilio de los enlaces falsos, la ofuscaci\u00f3n de contenido, la evasi\u00f3n de defensa e integraci\u00f3n de telegramas de telegrama.<\/p>\n

\"Ai<\/a><\/div>\n

Vibescamming comienza con un aviso directo pidiendo a la herramienta AI que automatice cada paso del ciclo de ataque, evaluando su respuesta inicial y luego adoptando un enfoque m\u00faltiple para dirigir suavemente el modelo LLM para generar la respuesta maliciosa prevista. Llamada “Nivel Up”, esta fase implica mejorar la p\u00e1gina de phishing, refinar los m\u00e9todos de entrega y aumentar la legitimidad de la estafa.<\/p>\n

Se ha descubierto que el adorable, por guardia, no solo produce una p\u00e1gina de inicio de sesi\u00f3n de aspecto convincente que imita la p\u00e1gina de inicio de sesi\u00f3n de Microsoft real, sino que tambi\u00e9n depende autom\u00e1ticamente la p\u00e1gina en una URL alojada en su propio subdominio (“es decir, *.lovable.app”) y redirige a la oficina[.]com despu\u00e9s del robo de credenciales.<\/p>\n

Adem\u00e1s de eso, tanto Claude como adorable parecen cumplir con las indicaciones que buscan ayuda para evitar que las p\u00e1ginas de estafas sean marcadas por soluciones de seguridad, as\u00ed como exfiltren las credenciales robadas a servicios externos como Firebase, Soldbin y Jsonbin, o canal privado de Telegram.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Lo que es m\u00e1s alarmante no es solo la similitud gr\u00e1fica sino tambi\u00e9n la experiencia del usuario”, dijo Tal. “Imite lo real tan bien que posiblemente sea m\u00e1s suave que el flujo de inicio de sesi\u00f3n de Microsoft real. Esto demuestra el poder crudo de los agentes de IA centrados en la tarea y c\u00f3mo, sin endurecer estricto, sin saberlo pueden convertirse en herramientas para el abuso”.<\/p>\n

“No solo gener\u00f3 el scampage con el almacenamiento de credenciales completo, sino que tambi\u00e9n nos regal\u00f3 un tablero de administraci\u00f3n completamente funcional para revisar todos los datos capturados: credenciales, direcciones IP, marcas de tiempo y contrase\u00f1as completas de texto sin formato”.<\/p>\n

En conjunto con los hallazgos, Guardio tambi\u00e9n ha lanzado la primera versi\u00f3n de lo que se llama el punto de referencia Vibescamming para poner los modelos de IA generativos a trav\u00e9s del escurridor y probar su resistencia contra los posibles abusos en los flujos de trabajo de phishing. Mientras que Chagpt anot\u00f3 un 8 de 10, Claude obtuvo un puntaje de 4.3, y Loveable obtuvo 1.8, lo que indica una alta explotabilidad.<\/p>\n

“Chatgpt, aunque posiblemente el modelo de prop\u00f3sito general m\u00e1s avanzado, tambi\u00e9n result\u00f3 ser el m\u00e1s cauteloso”, dijo Tal. “Claude, por el contrario, comenz\u00f3 con un retroceso s\u00f3lido, pero demostr\u00f3 ser f\u00e1cilmente persuadible. Una vez solicitado con el marco ‘\u00e9tico’ o ‘investigaci\u00f3n de seguridad’, ofreci\u00f3 una gu\u00eda sorprendentemente s\u00f3lida”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n