Los ataques de phishing son cosa de todos los días. Se trata de una estrategia en que cibercriminales le brindan al usuario un enlace, a través de un mensaje por correo electrónico, SMS o WhatsApp, que lo lleva a una página fraudulenta para robar sus datos personales. Sin embargo, no se tenía registro de que esta táctica fuera potenciada con herramientas de inteligencia artificial para atacar a millones de personas.
Esto es, precisamente, lo que reveló en los últimos días una investigación de Forbes, que advierte cómo ciberdelincuentes usan IA para suplantar el soporte técnico de Google y engañar a los usuarios de Gmail.
Esta táctica incluye llamadas telefónicas con identificadores de Google legítimos y correos electrónicos enviados desde dominios reales, lo que hace que las víctimas crean estar interactuando con la compañía.
El caso más reciente fue denunciado por Zach Latta, fundador de Hack Club, quien casi cae en la trampa tras recibir una llamada en la que un supuesto técnico de Google le advertía sobre la vulneración de su cuenta. La conversación, según Latta, parecía completamente legítima, incluyendo un tono de voz convincente y un acento estadounidense. Solo en el último momento identificó que se trataba de un ataque basado en IA.
Según Latta, fue “el ataque de phishing más sofisticado que jamás haya visto”, tal como cita Forbes en su informe.
Expertos en ciberseguridad, como Spencer Starkey, vicepresidente de SonicWall, advierten que los ciberdelincuentes evolucionan constantemente sus tácticas para evadir controles de seguridad y explotar vulnerabilidades.
Lea también: Pilas con el quishing, el peligro invisible de los códigos QR
“Esto requiere un enfoque proactivo y flexible en materia de ciberseguridad, que incluye evaluaciones de seguridad periódicas, inteligencia sobre amenazas, gestión de vulnerabilidades y planificación de respuesta a incidentes”, explicó.
Meses atrás, la multinacional tecnológica IBM ya había alertado sobre otra modalidad de estafa similar al phishing que es impulsada por herramientas de inteligencia artificial generativa para crear mensajes fraudulentos.
“Estas herramientas pueden generar correos electrónicos y mensajes de texto personalizados que no contengan errores ortográficos, incoherencias gramaticales y otras señales de alarma habituales en los intentos de suplantación de identidad”, alertaba la empresa estadounidense en un boletín del pasado septiembre.
La IA también puede ayudar a los estafadores a ampliar sus operaciones. Según el índice X-Force Threat Intelligencede IBM, un estafador tarda 16 horas en crear un correo electrónico de suplantación de identidad de forma manual. Con la IA, los estafadores pueden crear mensajes aún más convincentes en solo cinco minutos.
Para mitigar estos ataques, expertos recomiendan a los usuarios de Gmail no confiar en llamadas inesperadas de soporte técnico y verificar siempre cualquier intento de contacto a través de los canales oficiales de Google.
Además, es fundamental revisar la actividad reciente de la cuenta de Gmail desde el cliente web, donde se puede verificar si ha habido accesos sospechosos.
“En caso de duda, utilice recursos como la búsqueda de Google y su cuenta de Gmail para comprobar si hay algún número de teléfono y si alguien desconocido ha accedido a su cuenta”, advirtió Forbes en su informe.