La ingeniería social es el vector de acceso inicial más común que los cibercriminales explotan para vulnerar las organizaciones. Con cada año que pasa, los ataques de ingeniería social se vuelven más grandes y audaces gracias a los rápidos avances en inteligencia artificial.
En noviembre de 2022 se presentó el primer modelo de lenguaje grande (LLM), que se lanzó de forma gratuita al público. En 2023, el mundo comenzó a utilizar herramientas de IA generativa y los desarrolladores implementaron una variedad de características y funcionalidades basadas en estos LLM. En la segunda mitad de 2024, surgió rápidamente una nueva iteración: agentes impulsados por IA ("IA agéntica") que pueden actuar de forma autónoma y ejecutar tareas complejas.
La forma en que los humanos interactúan y colaboran con la IA está dando un gran paso adelante gracias a la IA con agentes, una tecnología emergente que transformará las industrias en todas partes. Combina nuevas formas de inteligencia artificial (IA), como los grandes modelos de lenguaje (LLM), la IA tradicional, como el aprendizaje automático, y la automatización empresarial para crear agentes de IA autónomos que pueden analizar datos, establecer objetivos y tomar medidas con una menor supervisión humana. Estos agentes son capaces de tomar decisiones y resolver problemas de forma dinámica, aprender y mejorar a través de cada interacción. Piense en agentes con inteligencia artificial que puedan planificar su próximo viaje al extranjero y hacer todos los arreglos de viaje; robots con apariencia humana que actúen como cuidadores virtuales de personas mayores; o especialistas en cadenas de suministro con inteligencia artificial que puedan optimizar los inventarios sobre la marcha en respuesta a las fluctuaciones de la demanda en tiempo real.
Gartner predice que, para 2028, un tercio de nuestras interacciones con la IA pasarán de ser simplemente escribir comandos a interactuar plenamente con agentes autónomos que pueden actuar según sus propios objetivos e intenciones.
La IA está ayudando a los cibercriminales a avanzar en sus campañas de ingeniería social de múltiples maneras:
- Phishing personalizado: los algoritmos de IA pueden analizar datos de las redes sociales (como antecedentes, intereses, empleo, conexiones, asociaciones, ubicación, etc.) y varias fuentes OSINT para crear ataques de phishing más personalizados y convincentes.
- Contenido local y contextual: herramientas como ChatGPT, Copilot y Gemini pueden ayudar a redactar correos electrónicos de phishing que sean gramaticalmente correctos, contextualmente apropiados y traducidos a cualquier idioma local. Se puede pedir a la IA que imite un estilo o tono de escritura específico, y se pueden redactar correos electrónicos de phishing de acuerdo con la respuesta o el comportamiento de un destinatario.
- Deepfakes realistas: los actores de amenazas utilizan herramientas de deepfake para crear personajes virtuales falsos y clones de audio de ejecutivos superiores y socios comerciales de confianza. Los deepfakes se utilizan para convencer a los empleados de que compartan información confidencial, transfieran dinero o concedan acceso a la red de una organización.
Dado que la IA está disponible para todos, podemos esperar que los ciberdelincuentes exploten la tecnología de IA agética con fines maliciosos. A continuación, se enumeran algunos casos que explican cómo los actores maliciosos utilizarán la IA agéntica como arma para lanzar ataques de ingeniería social:
- Amenazas automejorables, adaptativas e implacables: uno de los beneficios clave de la IA agéntica es que contiene memoria y, por lo tanto, posee la capacidad de aprender e improvisar. A medida que la IA interactúa con más víctimas a lo largo del tiempo, recopila datos sobre qué tipos de mensajes o enfoques funcionan mejor para ciertos tipos demográficos. Por lo tanto, se adapta, perfecciona sus futuras campañas de phishing, haciendo que cada ataque posterior sea más poderoso, convincente y efectivo.
- Phishing selectivo automatizado: la IA no agente se basa esencialmente en indicaciones; los cibercriminales tienen que proporcionar datos específicos para que la IA cree un correo electrónico de phishing. En el nuevo orden mundial, los agentes de IA maliciosos recopilarán de forma autónoma datos de los perfiles de las redes sociales, crearán mensajes de phishing, los adaptarán a personas u organizaciones específicas y los difundirán hasta lograr el resultado deseado.
- Orientación dinámica: los agentes de IA pueden actualizar o alterar dinámicamente su discurso de phishing en función de la respuesta o la ubicación del destinatario, o de cosas como días festivos, eventos o los intereses del objetivo, lo que marca un cambio significativo de los ataques de phishing estáticos a amenazas de ingeniería social altamente adaptables y en tiempo real. Por ejemplo, si se ignora un mensaje de phishing, la IA podría enviar un mensaje de seguimiento con un tono más urgente.
- Campañas de varias etapas: la IA con agentes puede orquestarse para lanzar ataques de ingeniería social complejos y de varias etapas. En términos más simples, se le puede indicar a la IA que aproveche los datos de una interacción para impulsar la siguiente. Por ejemplo, un ataque de phishing puede inducir a alguien a revelar una pequeña cantidad de información en la primera ronda de ataques. La IA puede luego usar esa información para trazar su próximo curso de acción.
- Ingeniería social multimodal: un agente de IA autónomo podría ir más allá del correo electrónico y usar o combinar otros canales de comunicación, como mensajes de texto, llamadas telefónicas o redes sociales, en sus intentos de phishing. Por ejemplo, si se ignora un mensaje de correo electrónico de phishing, la IA podría hacer una llamada de seguimiento usando un audio o video deepfake para mejorar las posibilidades de que el objetivo responda.
Puntos clave para las organizaciones
A continuación, se presentan algunas prácticas recomendadas para las organizaciones:
- Combatir la IA con IA, más IA y con IA...: para combatir los ataques avanzados de ingeniería social, considere la posibilidad de crear o adquirir un agente de IA que pueda evaluar los cambios en la superficie de ataque, detectar actividades irregulares que indiquen acciones maliciosas, analizar feeds globales para detectar amenazas de forma temprana, monitorear desviaciones en el comportamiento de los usuarios para detectar amenazas internas y priorizar la aplicación de parches en función de las tendencias de vulnerabilidad.
- Aprovechar la concientización sobre seguridad basada en la IA: la capacitación sobre seguridad es un componente no negociable para reforzar las defensas humanas. Las organizaciones deben ir más allá de la capacitación sobre seguridad tradicional y aprovechar herramientas que puedan hacer cosas como asignar contenido atractivo a los usuarios en función de las puntuaciones de riesgo y las tasas de falla, generar dinámicamente cuestionarios y escenarios de ingeniería social en función de las últimas amenazas, activar actualizaciones breves, etc.
- Preparar a los empleados para la ingeniería social con IA: la intuición y la vigilancia humanas son fundamentales para combatir las amenazas de ingeniería social. Las organizaciones deben redoblar sus esfuerzos para fomentar una cultura de ciberseguridad, educar a los empleados sobre los riesgos de la ingeniería social y su impacto en la organización, capacitarlos para identificar y denunciar dichas amenazas y brindarles herramientas que puedan mejorar el comportamiento en materia de seguridad.
Obviamente, los cibercriminales no tardarán en aprovechar estos avances para sus fechorías. Las organizaciones deben reforzar sus defensas para prepararse para esta eventualidad mediante la implementación de sus propios agentes de ciberseguridad basados en IA, aprovechando la capacitación en seguridad basada en IA e inculcando un sentido de responsabilidad en materia de seguridad.
Fuente: SecurityWeek