Un nuevo estudio destaca la creciente sofisticación de los grandes modelos de lenguaje (LLM), la estructura detrás de los chatbots de IA más conocidos, para crear estrategias de fraude cibernético. Estos modelos pueden diseñar campañas de phishing hiperpersonalizadas y persuasivas, a una fracción del coste y el tiempo que requieren los métodos tradicionales desarrollados por humanos.
Un equipo de investigadores de la Escuela Kennedy de la Universidad de Harvard y el Grupo de Investigación Avant, en Estados Unidos, ha obtenido evidencias sobre el creciente papel de la Inteligencia Artificial (IA) en el desarrollo de campañas de phishing y otros delitos informáticos: la IA permite a los delincuentes cibernéticos llegar a una mayor cantidad de posibles víctimas, dirigir mejor las campañas y reducir costes.
Según el nuevo estudio, publicado en arXiv, la fuerte evolución de los grandes modelos de lenguaje (LLM, según sus siglas en inglés), que sustentan a los chatbots como ChatGPT o Gemini, entre muchos otros, ha permitido a los ciberdelincuentes mejorar sus estrategias de engaño e incrementar las tasas de éxito de sus campañas.
Mejorando el arte del engaño
Se denomina phishing a un ciberataque común en el cual los delincuentes envían correos electrónicos o mensajes de texto fraudulentos, diseñados para engañar a los destinatarios y conseguir que entreguen información confidencial, como contraseñas o datos financieros. Otro objetivo puede ser lograr que las víctimas hagan clic en enlaces que instalan malware o software malicioso.
Para conseguir el éxito, las campañas de phishing deben explotar con eficacia la psicología humana, para encontrar algún resquicio o debilidad que facilite la acción delictiva. Sin embargo, el constante crecimiento global de estas amenazas, que se vio incluso intensificado durante y después de la pandemia por COVID-19, ha vuelto a los internautas más sagaces para detectar estas campañas, obligando a los delincuentes a optimizar su creatividad.
Como toda herramienta tecnológica, la IA puede ser usada para los fines más loables y para favorecer el crecimiento de la humanidad, del mismo modo que puede aprovecharse para el mal o fines poco éticos. En este caso, puede transformarse en una aliada inmejorable para los delincuentes informáticos.
Ciberdelincuentes e IA: una alianza peligrosa
The Debrief informa que el equipo de investigación llevó a cabo un experimento con 101 participantes para evaluar la eficacia de los correos electrónicos de phishing generados por IA, en comparación con los creados por expertos humanos. Los participantes se dividieron en cuatro grupos y cada uno recibió un tipo de correo electrónico diferente.
La herramienta creada por los investigadores automatiza el proceso de phishing selectivo mediante la recopilación de información pública, como sitios web personales, páginas de redes sociales y artículos de noticias. Cuando considera que ha encontrado suficiente contenido, utiliza la información para crear correos electrónicos de phishing personalizados.
Según indica malwarebytes.com, los resultados muestran que los correos electrónicos de phishing generados por IA junto a expertos humanos aumentaron la tasa de éxito al 56%, en la búsqueda por conseguir que las víctimas accionen los enlaces fraudulentos. Por el contrario, los correos electrónicos genéricos y sin intervención de la IA en la personalización tuvieron una tasa de éxito mucho menor, cercana al 12%.
De acuerdo a las conclusiones de los investigadores, la economía del phishing se ve notablemente beneficiada por la IA, destacando especialmente como la inteligencia artificial permite a los atacantes dirigirse a una mayor cantidad de personas a un menor coste, optimizar la personalización de los ataques y aumentar la rentabilidad de las campañas hasta 50 veces para audiencias más amplias.
Referencia
Evaluating Large Language Models’ Capability to Launch Fully Automated Spear Phishing Campaigns: Validated on Human Subjects. Fred Heiding et al. arXiv (2024). DOI:https://doi.org/10.48550/arXiv.2412.00586
