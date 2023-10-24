Los atacantes parecen innovar casi tan rápido como se desarrolla la tecnología. Día a día, tanto la tecnología como las amenazas avanzan. Ahora, a medida que entramos en la era de la IA, las máquinas no solo imitan el comportamiento humano, sino que también impregnan casi todas las facetas de nuestras vidas. Sin embargo, a pesar de la creciente ansiedad por las implicaciones de la IA, se desconoce en gran medida el alcance total de su posible uso indebido por parte de los atacantes.
Para comprender mejor cómo los atacantes pueden capitalizar la IA generativa, llevamos a cabo un proyecto de investigación crítico que arroja luz sobre una pregunta fundamental: ¿Tienen los modelos actuales de IA generativa las mismas capacidades engañosas que la mente humana?
Imagínese un escenario en el que la IA se enfrente a los humanos en una batalla de suplantación de identidad. ¿El objetivo? Para determinar qué competidor puede obtener una tasa de clics más alta en una simulación de phishing contra organizaciones. Como alguien que se gana la vida escribiendo correos electrónicos de phishing, me entusiasmó descubrir la respuesta.
Con solo cinco simples instrucciones pudimos engañar a un modelo de IA generativa para que desarrollara correos electrónicos de phishing altamente convincentes en solo cinco minutos, el mismo tiempo que tardo en preparar una taza de café. Por lo general, mi equipo tarda unas 16 horas en crear un correo electrónico de phishing, y eso sin tener en cuenta la configuración de la infraestructura. Así pues, los atacantes pueden ahorrarse potencialmente casi dos días de trabajo utilizando modelos de IA generativa. Y el phish generado por IA fue tan convincente que casi superó al creado por ingenieros sociales experimentados, pero el hecho de que esté casi a la altura es ya un avance importante.
En este blog, detallaremos cómo se crearon las instrucciones de IA, cómo se realizó la prueba y qué significa esto para los ataques de ingeniería social de hoy y del mañana.
En un rincón, teníamos correos electrónicos de phishing generados por IA con narrativas muy ingeniosas y convincentes.
Creación de las instrucciones. A través de un proceso sistemático de experimentación y perfeccionamiento, se diseñó una colección de solo cinco instrucciones para instruir a ChatGPT a generar correos electrónicos de phishing adaptados a sectores específicos.
Para empezar, pedimos a ChatGPT que detallara las principales áreas de preocupación de los empleados de esos sectores. Tras priorizar las preocupaciones de los sectores y de los empleados como objetivo principal, dimos instrucciones a ChatGPT para que tomara decisiones estratégicas sobre el uso de técnicas de ingeniería social y marketing dentro del correo electrónico. Estas opciones tenían como objetivo optimizar la probabilidad de que un mayor número de empleados hiciera clic en un enlace del propio correo electrónico. A continuación, una instrucción preguntaba a ChatGPT quién debería ser el remitente (por ejemplo, alguien interno de la empresa, un proveedor, una organización externa, etc.). Por último, le pedimos a ChatGPT que agregara las siguientes explicaciones para crear el correo electrónico de phishing:
Tengo casi una década de experiencia en ingeniería social, he elaborado cientos de correos electrónicos de phishing e incluso a mí me pareció que los correos electrónicos generados por IA eran bastante persuasivos. De hecho, hubo tres organizaciones que originalmente aceptaron participar en este proyecto de investigación, y dos se retiraron completamente tras revisar ambos correos electrónicos de phishing porque esperaban una alta tasa de éxito. Como mostraban las instrucciones, la organización que participó en este estudio de investigación pertenecía al sector sanitario, que actualmente es uno de los mayores sectores objetivo.
Victoria en la productividad para los atacantes. Mientras que un correo electrónico de phishing suele llevar a mi equipo unas 16 horas de elaboración, el correo electrónico de phishing con IA se generó en solo cinco minutos únicamente con cinco sencillas instrucciones.
En la otra esquina, teníamos a experimentados ingenieros sociales de X-Force Red.
Armados con creatividad y una pizca de psicología, estos ingenieros sociales crearon correos electrónicos de phishing que encajaban con sus objetivos a nivel personal. El elemento humano añadió un aire de autenticidad que a menudo es difícil de replicar.
Paso 1: OSINT– nuestro enfoque del phishing comienza invariablemente con la fase inicial de adquisición de inteligencia de código abierto (OSINT). OSINT es la recuperación de información de acceso público, que posteriormente se somete a un análisis riguroso y sirve como recurso fundamental en la formulación de campañas de ingeniería social. Los repositorios de datos más importantes para nuestras iniciativas de OSINT incluyen plataformas como LinkedIn, el blog oficial de la organización, Glassdoor y muchas otras fuentes.
Durante nuestras actividades OSINT, descubrimos con éxito una entrada de blog que detalla el reciente lanzamiento de un programa de bienestar de los empleados, coincidiendo con la finalización de varios proyectos destacados. Es alentador que este programa haya contado con testimonios favorables de los empleados en Glassdoor, lo que demuestra su eficacia y la satisfacción de los empleados. Además, identificamos a una persona responsable de gestionar el programa a través de LinkedIn.
Paso 2: elaboración del correo electrónico – utilizando los datos recopilados a través de nuestra fase OSINT, iniciamos el proceso de meticulosa construcción de nuestro correo electrónico de phishing. Como paso fundamental, era imperativo que nos hiciéramos pasar por alguien con autoridad para abordar el tema de forma eficaz. Para potenciar el aura de autenticidad y familiaridad, incorporamos un enlace legítimo a un proyecto recientemente concluido.
Para añadir un impacto persuasivo, integramos estratégicamente elementos de urgencia percibida introduciendo "restricciones de tiempo artificiales". Transmitimos a los destinatarios que la encuesta en cuestión constaba simplemente de "cinco preguntas breves" y les aseguramos que completarla no requeriría más de "unos minutos" de su valioso tiempo y les dimos como fecha límite "este viernes". Este encuadre deliberado sirvió para subrayar la imposición mínima sobre sus horarios, reforzando la naturaleza no intrusiva de nuestro enfoque.
Utilizar una encuesta como pretexto para el phishing suele ser arriesgado, ya que a menudo se considera una señal de alarma o simplemente se ignora. Sin embargo, teniendo en cuenta los datos que descubrimos, decidimos que los beneficios potenciales podrían superar los riesgos asociados.
El siguiente correo electrónico de phishing redactado se envió a más de 800 empleados de una organización sanitaria mundial:
Después de una intensa ronda de pruebas A/B, los resultados fueron claros: los humanos salieron victoriosos, pero con un margen muy estrecho.
Si bien los correos electrónicos de suplantación de identidad creados por humanos lograron superar a la IA, fue una competencia muy reñida. He aquí por qué:
El phishing generado por la IA no solo perdió frente a los humanos, sino que también fue denunciado como sospechoso en un mayor porcentaje.
Aunque X-Force no ha sido testigo del uso a gran escala de la IA generativa en las campañas actuales, se observaron herramientas como WormGPT (que se crearon para ser LLM sin restricciones o semirrestringidas) a la venta en varios foros que anunciaban capacidades de phishing, lo que demuestra que los atacantes están probando el uso de la IA en campañas de phishing. Si bien incluso las versiones restringidas de modelos de IA generativa pueden ser engañadas para realizar phishing mediante instrucciones simples, estas versiones sin restricciones pueden ofrecer formas más eficientes para que los atacantes escalen sofisticados correos electrónicos de phishing en el futuro.
Puede que los humanos hayan ganado este partido por poco, pero la IA mejora constantemente. A medida que avanza la tecnología, solo podemos esperar que la IA se vuelva más sofisticada y, potencialmente, incluso supere a los humanos algún día. Como sabemos, los atacantes se adaptan e innovan constantemente. Solo este año hemos visto cómo los estafadores utilizan cada vez más clones de voz generados por IA para engañar a la gente y que envíe dinero, tarjetas regalo o divulgue información sensible.
Si bien los humanos aún pueden llevar la delantera en lo que respecta a la manipulación emocional y la elaboración de correos electrónicos persuasivos, la aparición de la IA en el phishing señala un momento crucial en los ataques de ingeniería social. Estas son cinco recomendaciones clave para que las empresas y los consumidores estén preparados:
La aparición de la IA en los ataques de phishing nos desafía a reevaluar nuestros enfoques de la ciberseguridad. Si adoptamos estas recomendaciones y nos mantenemos alerta ante la evolución de las amenazas, podemos reforzar nuestras defensas, proteger nuestras empresas y garantizar la seguridad de nuestros datos y personas en la dinámica era digital actual.
