La ingeniería social ha sido durante mucho tiempo una táctica efectiva debido a cómo se centra en las vulnerabilidades humanas. No hay una contraseña de ‘spray y rezar’ de la fuerza bruta. No hay sistemas de fregado para software sin parpadeo. En cambio, simplemente se basa en manipular emociones como la confianza, el miedo y el respeto por la autoridad, generalmente con el objetivo de obtener acceso a información confidencial o sistemas protegidos.
Tradicionalmente, eso significaba investigar e involucrar a objetivos individuales manualmente, que tomaron el tiempo y los recursos. Sin embargo, el advenimiento de la IA ahora ha permitido lanzar ataques de ingeniería social de diferentes maneras, a escala y, a menudo, sin experiencia psicológica. Este artículo cubrirá cinco formas en que AI está impulsando una nueva ola de ataques de ingeniería social.
El Audio Deepfake que puede haber influido en las elecciones de Eslovaquia
Antes de las elecciones parlamentarias eslovacas en 2023, surgió una grabación que parecía presentar al candidato Michal Simecka en una conversación con una conocida periodista, Monika Todova. La pieza de audio de dos minutos incluyó discusiones sobre la compra de votos y el aumento de los precios de la cerveza.
Después de difundir en línea, se reveló que la conversación era falsa, con palabras pronunciadas por una IA que había sido entrenada en las voces de los oradores.
Sin embargo, el Deepfake se lanzó solo unos días antes de las elecciones. Esto llevó a muchos a preguntarse si AI había influido en el resultado y contribuyó al progresivo Partido de Eslovaquia de Michal Simecka en segundo lugar.
La videollamada de $ 25 millones que no fue
En febrero de 2024 surgieron informes de un ataque de ingeniería social con IA contra un trabajador de finanzas en ARUP multinacional. Asistieron a una reunión en línea con quien pensaron que era su CFO y otros colegas.
Durante el video, se le pidió al trabajador de finanzas que hiciera una transferencia de $ 25 millones. Creyendo que la solicitud provenía del CFO real, el trabajador siguió las instrucciones y completó la transacción.
Inicialmente, según los informes, habían recibido la invitación de la reunión por correo electrónico, lo que los hizo sospechar de ser el objetivo de un ataque de phishing. Sin embargo, después de ver lo que parecía ser el CFO y los colegas en persona, la confianza fue restaurada.
El único problema era que el trabajador era la única persona genuina presente. Todos los demás asistentes fueron creados digitalmente utilizando la tecnología Deepfake, con el dinero yendo a la cuenta de los estafadores.
La demanda de rescate de $ 1 millón de la madre para la hija
Muchos de nosotros hemos recibido SMS aleatorios que comienzan con una variación de ‘Hola mamá/papá, este es mi nuevo número. ¿Puedes transferir algo de dinero a mi nueva cuenta, por favor? Cuando se recibe en forma de texto, es más fácil dar un paso atrás y pensar: «¿Es real este mensaje?» Sin embargo, ¿qué pasa si recibe una llamada y escucha a la persona y reconoce su voz? ¿Y si parece que han sido secuestrados?
Eso es lo que le sucedió a una madre que testificó en el Senado de los Estados Unidos en 2023 sobre los riesgos del crimen generado por IA. Había recibido una llamada que sonaba como de su hija de 15 años. Después de responder, escuchó las palabras, ‘Mamá, estos hombres malos me tienen’, seguido de una voz masculina que amenaza con actuar sobre una serie de terribles amenazas a menos que se pagara un rescate de $ 1 millón.
Abrumado por el pánico, el shock y la urgencia, la madre creía lo que estaba escuchando, hasta que resultó que la llamada se hizo usando una voz con clase AI.
Chatbot falso de Facebook que cosecha nombres de usuario y contraseñas
Facebook dice: «Si recibe un correo electrónico o mensaje sospechoso que afirma ser de Facebook, no haga clic en ningún enlace o archivos adjuntos». Sin embargo, los atacantes de ingeniería social aún obtienen resultados utilizando esta táctica.
Pueden jugar con los temores de las personas de perder acceso a su cuenta, pidiéndoles que hagan clic en un enlace malicioso y apelen una prohibición falsa. Pueden enviar un enlace con la pregunta ‘¿ESTÁ EN ESTE VIDEO?’ y desencadenar un sentido natural de curiosidad, preocupación y deseo de hacer clic.
Los atacantes ahora están agregando otra capa a este tipo de ataque de ingeniería social, en forma de chatbots con IA. Los usuarios reciben un correo electrónico que finge ser de Facebook, amenazando con cerrar su cuenta. Después de hacer clic en el botón ‘Apelar aquí’, se abre un chatbot que solicita detalles de nombre de usuario y contraseña. La ventana de soporte es la marca Facebook, y la interacción en vivo viene con una solicitud de ‘actuar ahora’, agregando urgencia al ataque.
‘Baja tus armas’ dice el presidente de Deepfake, Zelensky
Como dice el dicho: la primera víctima de la guerra es la verdad. Es solo que con IA, la verdad ahora también puede rehacerse digitalmente. En 2022, un video falso parecía mostrar al presidente Zelensky instando a los ucranianos a rendirse y dejar de luchar en la guerra contra Rusia. La grabación salió en Ucrania24, una estación de televisión que fue pirateada y luego se compartió en línea.
 |
| Un video fijo del presidente Zelensky Deepfake, con diferencias en el tono de piel de cara y cuello |
Muchos informes de los medios destacaron que el video contenía demasiados errores para creer ampliamente. Estos incluyen que la cabeza del presidente sea demasiado grande para el cuerpo y se colocan en un ángulo antinatural.
Si bien todavía estamos en días relativamente tempranos para la IA en la ingeniería social, este tipo de videos a menudo son suficientes para hacer que la gente se detenga y piense: «¿Qué pasaría si esto fuera cierto?» A veces, agregar un elemento de duda a la autenticidad de un oponente es todo lo que se necesita para ganar.
AI lleva la ingeniería social al siguiente nivel: cómo responder
El gran desafío para las organizaciones es que la ingeniería social ataca a las emociones objetivo y evoca pensamientos que nos hacen a todos humanos. Después de todo, estamos acostumbrados a confiar en nuestros ojos y oídos, y queremos creer lo que nos dicen. Estos son instintos totalmente naturales que no pueden ser desactivados, degradados o colocados detrás de un firewall.
Agregue el surgimiento de la IA, y está claro que estos ataques continuarán emergiendo, evolucionando y expandido en volumen, variedad y velocidad.
Es por eso que debemos considerar educar a los empleados para controlar y administrar sus reacciones después de recibir una solicitud inusual o inesperada. Alentar a las personas a detenerse y pensar antes de completar lo que se les pide que hagan. Mostrándoles cómo se ve un ataque de ingeniería social basado en IA y, lo más importante, se siente en la práctica. Para que no importa cuán rápido se desarrolle la IA, podemos convertir la fuerza laboral en la primera línea de defensa.
Aquí hay un plan de acción de 3 puntos que puede usar para comenzar:
- Hable sobre estos casos con sus empleados y colegas y capacitarlos específicamente contra las amenazas de Deepfake – Para aumentar su conciencia y explorar cómo responderían (y deberían) responder.
- Establezca algunas simulaciones de ingeniería social para sus empleados – para que puedan experimentar técnicas comunes de manipulación emocional y reconocer sus instintos naturales para responder, al igual que en un ataque real.
- Revise sus defensas organizativas, permisos de cuenta y privilegios de roles – Comprender una posible amenaza de los movimientos del actor si tuvieran acceso inicial.
