El phishing ya no es ese correo mal redactado del "principe nigeriano". La inteligencia artificial generativa ha dado a los atacantes herramientas para crear ataques de ingenieria social practicamente indistinguibles de las comunicaciones reales.
La evolucion del phishing con IA
Segun el Anti-Phishing Working Group (APWG), los ataques de phishing alcanzaron un record de 4.7 millones de intentos en 2023, y los asistidos por IA son los mas efectivos. Los atacantes usan modelos de lenguaje para:
- Generar correos personalizados que imitan perfectamente el tono y estilo de comunicacion de un ejecutivo o proveedor
- Crear sitios web clon pixel-perfect de bancos, proveedores cloud y herramientas corporativas
- Traducir ataques sin errores gramaticales a cualquier idioma, incluyendo espanol latinoamericano
- Automatizar el reconocimiento analizando perfiles de LinkedIn, redes sociales y sitios web corporativos
Deepfakes: cuando ya no puede confiar en lo que ve y oye
Los deepfakes de audio y video representan la siguiente frontera. Casos reales incluyen:
- Vishing (voice phishing): En 2024, una empresa de Hong Kong perdio $25 millones cuando un empleado recibio una videollamada deepfake de su "CFO" autorizando una transferencia.
- Audio deepfake: Un CEO de una empresa de energia del Reino Unido fue engañado con una llamada deepfake que imitaba la voz de su jefe, perdiendo 220,000 euros.
- Video deepfake en tiempo real: Herramientas accesibles permiten ahora generar video deepfake en videollamadas en tiempo real.
Business Email Compromise (BEC) potenciado por IA
El BEC — donde un atacante suplanta a un ejecutivo por email para autorizar transferencias — ya genera perdidas de $2.7 mil millones anuales segun el FBI IC3. Con IA, estos ataques son mas convincentes: el atacante analiza semanas de comunicaciones para replicar el estilo exacto del ejecutivo.
Como proteger a su empresa
- Simulaciones de phishing regulares: Envie correos de phishing simulados a sus empleados mensualmente y mida la tasa de click. Entrene a quienes caigan.
- Verificacion fuera de banda: Para cualquier solicitud financiera o de acceso, confirme por un canal diferente (si llega por email, confirme por telefono).
- Filtrado de email avanzado: Use solucionees que analicen contenido con IA, no solo firmas conocidas.
- Protocolos de autorizacion: Ningun empleado deberia poder autorizar transferencias significativas sin doble aprobacion.
- Monitoreo SOC de email: Detectar patrones de BEC y phishing dirigido antes de que lleguen al usuario final.
- Palabras clave de seguridad: Establezca codigos verbales con ejecutivos para verificar identidad en llamadas sensibles.
