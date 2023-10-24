Los atacantes parecen innovar casi tan rápido como se desarrolla la tecnología. Día a día, tanto la tecnología como las amenazas avanzan. Ahora, a medida que entramos en la era de la IA, las máquinas no solo imitan el comportamiento humano, sino que también impregnan casi todas las facetas de nuestras vidas. Sin embargo, a pesar de la creciente preocupación por las implicaciones de la IA, se desconoce en gran medida el alcance total de su posible uso indebido por parte de los atacantes.
Para comprender mejor cómo los atacantes pueden capitalizar la IA generativa, llevamos a cabo un proyecto de investigación crítica que arroja luz sobre una pregunta crítica: ¿los modelos actuales de IA generativa tienen las mismas capacidades engañosas que la mente humana?
Imagine un escenario en el que la IA se enfrente a los humanos en una batalla de phishing. ¿El objetivo? Determinar qué competidor puede obtener una mayor tasa de clics en una simulación de phishing contra organizaciones. Como alguien que se dedica a escribir correos electrónicos de phishing, estaba emocionado por descubrir la respuesta.
Con solo cinco instrucciones simples, pudimos engañar a un modelo de IA generativa para desarrollar correos electrónicos de phishing altamente convincentes en solo cinco minutos, el mismo tiempo que me toma preparar una taza de café. Por lo general, mi equipo tarda unas 16 horas en crear un correo electrónico de phishing, y eso sin tener en cuenta la configuración de la infraestructura. Por lo tanto, los atacantes pueden ahorrar potencialmente casi dos días de trabajo mediante el uso de modelos de IA generativa. Y el phish generado por IA fue tan convincente que casi superó al elaborado por ingenieros sociales experimentados, pero el hecho de que esté incluso a la par, es un desarrollo importante.
En este blog, detallaremos cómo se crearon las instrucciones de IA, cómo se realizó la prueba y qué significa esto para los ataques de ingeniería social hoy y mañana.
En una esquina, teníamos correos electrónicos de phishing generados por IA con narrativas altamente astutas y convincentes.
Creación de las instrucciones. A través de un proceso sistemático de experimentación y refinamiento, se diseñó una colección de solo cinco instrucciones para instruir a ChatGPT para que genere correos electrónicos de phishing adaptados a industrias específicas.
Para empezar, le pedimos a ChatGPT que detallara las principales áreas de preocupación para los empleados dentro de esas industrias. Tras priorizar las industrias y las preocupaciones de los empleados como foco principal, dimos la instrucción a ChatGPT para tomar decisiones estratégicas sobre el uso tanto de técnicas de ingeniería social como de marketing dentro del correo electrónico. Estas opciones tenían como objetivo optimizar la probabilidad de que un mayor número de empleados hiciera clic en un enlace del propio correo electrónico. A continuación, una instrucción preguntaba a ChatGPT quién debería ser el remitente (por ejemplo, alguien interno de la empresa, un proveedor, una organización externa, etc.). Por último, le pedimos a ChatGPT que agregara las siguientes finalizaciones para crear el correo electrónico de phishing:
Tengo casi una década de experiencia en ingeniería social, elaboré cientos de correos electrónicos de phishing e incluso encontré que los correos electrónicos de phishing generados por IA eran bastante persuasivos. De hecho, hubo tres organizaciones que originalmente aceptaron participar en este proyecto de investigación, y dos se retiraron por completo después de revisar ambos correos electrónicos de phishing porque esperaban una alta tasa de éxito. Según lo mostraron las instrucciones, la organización que participó en esta investigación estuvo en la industria de la salud, que actualmente es una de las industrias más focalizadas.
Ganancias de productividad para los atacantes. Si bien mi equipo suele tardar unas 16 horas en elaborar un correo electrónico de phishing, el correo electrónico de phishing de IA se generó en solo cinco minutos con solo cinco instrucciones simples.
En la otra esquina, teníamos experimentados ingenieros sociales de X-Force Red.
Dotados de creatividad y una pizca de psicología, estos ingenieros sociales crearon correos electrónicos de phishing que resonaron con sus objetivos a nivel personal. El elemento humano agregó un aire de autenticidad que a menudo es difícil de replicar.
Paso 1: OSINT – Nuestro enfoque del phishing comienza invariablemente con la fase inicial de adquisición de Inteligencia de código abierto (OSINT). OSINT es la recuperación de información de acceso público, que posteriormente se somete a un análisis riguroso y sirve como recurso fundamental en la formulación de campañas de ingeniería social. Entre los repositorios de datos más destacados para nuestras iniciativas de OSINT se encuentran plataformas como LinkedIn, el blog oficial de la organización, Glassdoor y muchas otras fuentes.
Durante nuestras actividades OSINT, descubrimos con éxito una entrada en el blog que detalla el reciente lanzamiento de un programa de bienestar para empleados, coincidiendo con la finalización de varios proyectos destacados. De manera alentadora, este programa tuvo testimonios favorables de los empleados en Glassdoor, lo que atestigua su eficacia y satisfacción de los empleados. Además, identificamos a una persona responsable de gestionar el programa a través de LinkedIn.
Paso 2: Elaboración de correo electrónico – Utilizando los datos recopilados a través de nuestra fase OSINT, iniciamos el proceso de construcción meticulosa de nuestro correo electrónico de phishing. Como paso fundamental, era imperativo que suplantáramos a alguien con autoridad para tratar el tema de manera efectiva. Para mejorar el aura de autenticidad y familiaridad, incorporamos un enlace legítimo del sitio web a un proyecto concluido recientemente.
Para agregar un impacto persuasivo, integramos estratégicamente elementos de urgencia percibida introduciendo "restricciones de tiempo artificiales". Les transmitimos a los destinatarios que la encuesta en cuestión constaba simplemente de "cinco preguntas breves" y les aseguramos que completarla no requeriría más de "unos minutos" de su valioso tiempo y dimos como fecha límite "este viernes". Este encuadre deliberado sirvió para subrayar la imposición mínima en sus horarios, reforzando la naturaleza no intrusiva de nuestro enfoque.
Usar una encuesta como pretexto de phishing suele ser arriesgado, ya que a menudo se ve como una bandera roja o simplemente se ignora. Sin embargo, teniendo en cuenta los datos que descubrimos, decidimos que los beneficios potenciales podrían superar los riesgos asociados.
El siguiente correo electrónico de phishing redactado se envió a más de 800 empleados de una organización global de atención médica:
Después de una intensa ronda de pruebas A/B, los resultados fueron claros: los humanos salieron victoriosos, pero por un margen muy estrecho.
Si bien los correos electrónicos de phishing creados por humanos lograron superar a la IA, fue una competencia muy reñida. Le decimos por qué:
El phish generado por IA no solo perdió ante los humanos, sino que también se informó como sospechoso a un ritmo mayor.
Aunque X-Force no vio el uso generalizado de IA generativa en campañas actuales, herramientas como WormGPT, que fueron diseñadas para ser LLM sin restricciones o semi restringidas, se vieron a la venta en varios foros que anunciaban capacidades de phishing, demostrando que los atacantes están probando el uso de la IA en campañas de phishing. Si bien incluso las versiones restringidas de modelos de IA generativa pueden ser engañadas para realizar phishing mediante instrucciones simples, estas versiones sin restricciones pueden ofrecer formas más eficientes para que los atacantes escalen correos electrónicos de phishing sofisticados en el futuro.
Es posible que los humanos hayan ganado este partido por poco, pero la IA mejora constantemente. A medida que avanza la tecnología, solo podemos esperar que la IA se vuelva más sofisticada y, potencialmente, incluso supere a los humanos algún día. Como sabemos, los atacantes se adaptan e innovan constantemente. Solo este año hemos visto a los estafadores usar cada vez más clones de voz generados por IA para engañar a las personas para que envíen dinero, tarjetas de regalo o divulguen información confidencial.
Aunque los humanos aún pueden tener ventaja en lo que respecta a la manipulación emocional y la redacción de correos electrónicos persuasivos, la aparición de la IA en el phishing marca un momento crucial en los ataques de ingeniería social. Aquí hay cinco recomendaciones clave para que las empresas y los consumidores se mantengan preparados:
La aparición de la IA en los ataques de phishing nos desafía a reevaluar nuestros enfoques de ciberseguridad. Al adoptar estas recomendaciones y mantenernos alerta ante las amenazas en evolución, podemos fortalecer nuestras defensas, proteger nuestras empresas y garantizar la seguridad de nuestros datos y personas en la dinámica era digital actual.
Para obtener más información sobre la investigación de seguridad de X-Force, inteligencia de amenazas e insights aportados por hackers, visite el Centro de Investigación de X-Force.
Para aprender más sobre cómo IBM puede ayudar a las empresas a acelerar su camino en la auditoría interna de forma segura, visite aquí.
Boletín de la industria
Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.