Los ciberdelincuentes están recurriendo a ChatGPT para generar correos electrónicos de phishing extremadamente convincentes, advierten los investigadores. Entonces, ¿cómo pueden los usuarios de Internet detectar las estafas?
La empresa de ciberseguridad Norton advirtió que los delincuentes están recurriendo a herramientas de IA como ChatGPT para crear ‘señuelos’ para robar a las víctimas.
DESPLAZAR HACIA ABAJO PARA LA GUÍA
Las herramientas de inteligencia artificial como ChatGPT hacen que sea mucho más difícil detectar estafas (Alamy)
Un informe en New Scientist sugirió que el uso de ChatGPT para generar correos electrónicos podría reducir los costos para las pandillas de ciberdelincuentes hasta en un 96 por ciento.
ChatGPT también elimina por completo la barrera del idioma para las bandas de delincuentes cibernéticos de todo el mundo, advierte Julia O’Toole, directora ejecutiva de MyCena Security Solutions.
O’Toole dijo que todavía hay formas de detectar correos electrónicos fraudulentos generados por herramientas de inteligencia artificial, pero la tecnología hace que sea mucho más difícil detectar correos electrónicos fraudulentos.
Ella DIJO: ‘El phishing ha aumentado de manera significativa desde que las estafas por correo electrónico llegaron por primera vez a las bandejas de entrada, pero la falta de competencia en el idioma y la cultura sigue siendo una barrera importante para los estafadores, que han luchado para que sus correos electrónicos sean realistas.
“Si bien todavía engañaban a personas inocentes, muchos usuarios de Internet pudieron detectar la parodia y eliminarla.
Pero esos días se han ido, dijo.
ChatGPT es el «tema más candente» en la web oscura en la actualidad, según O’Toole, ya que los ciberdelincuentes descubren cómo usarlo para defraudar a las víctimas.
Hay protecciones integradas en ChatGPT que están destinadas a evitar que se use en estafas, pero los delincuentes están trabajando en cómo eludirlas.
Ella dijo: ‘La calidad y la velocidad de ejecución de ChatGPT lo convierten en un poderoso truco de productividad.
«Con él, los delincuentes ahora pueden multiplicar las campañas de phishing complejas, generando correos electrónicos más rápido con mayores posibilidades de éxito».
O’Toole advierte que la capacidad de ChatGPT para generar contenido preciso significa que puede hacerse pasar por cualquiera de manera efectiva, y advierte que las herramientas de IA que pueden acceder al contenido de Internet son potencialmente un «arma de destrucción masiva cibernética».
Ella dijo: ‘Los piratas informáticos pueden usar ChatGPT para engañar a las personas para que revelen sus nombres de usuario y contraseñas para sus cuentas en línea, o pueden engañar a las personas para que envíen dinero o divulguen información personal a los delincuentes mientras los engañan haciéndoles creer que es para fines legítimos.
Los ciberdelincuentes pueden usar indicaciones complejas para recopilar la información necesaria para crear un ciberataque ‘a la medida’, advirtió.
‘Cuando los delincuentes usan ChatGPT, no hay barreras culturales. Cuando el objetivo recibe un correo electrónico de su banco o director ejecutivo «aparente», no hay señales que indiquen que el correo electrónico es falso.
«El tono, el contexto y la razón para realizar la transferencia bancaria no ofrecen evidencia que sugiera que el correo electrónico es una estafa».
Desde su lanzamiento en noviembre de 2022, ChatGPT ha fascinado a la comunidad ciberdelincuente.
Los carteles en notorios foros de delitos cibernéticos han discutido el uso del bot para crear malware e incluso crear nuevos mercados en la web oscura para la venta de tarjetas de crédito robadas y otros bienes ilegales.
Hay varias aplicaciones falsas de ChatGPT que recopilan datos de los usuarios, y el proveedor de seguridad cibernética BitDefender detectó una estafa de phishing en la que se dirigía a los usuarios a un ChatGPT falso para recopilar datos bancarios.
El proveedor de ciberseguridad Norton advirtió que los correos electrónicos de phishing son la punta del iceberg, y que los ciberdelincuentes podrían usar ChatGPT o un software similar para crear chatbots completamente falsos para estafar a los usuarios de Internet y quitarles su dinero.
Según la firma de análisis SimilarWeb, ChatGPT promedió 13 millones de usuarios por día en enero, lo que la convierte en la aplicación de Internet de más rápido crecimiento de todos los tiempos.
TikTok tardó unos nueve meses después de su lanzamiento mundial en llegar a 100 millones de usuarios e Instagram más de dos años.
OpenAI, una empresa privada respaldada por Microsoft Corp, puso ChatGPT a disposición del público de forma gratuita a fines de noviembre.
Las cinco formas de detectar correos electrónicos de phishing generados por IA
Detectar correos electrónicos de phishing generados por ChatGPT es mucho más difícil que detectar los generados por seres humanos, dice Julia O’Toole, directora ejecutiva de MyCena Security Solutions.
Aquí hay cinco formas de detectar que un correo electrónico es una estafa:
Pase el cursor sobre la dirección de correo electrónico para comprobarlo
Julia O’Toole, CEO de MyCena Security Solutions
En una PC, puede ‘pasar’ el mouse sobre un enlace ‘Contáctenos’ para ver a dónde va realmente su correo electrónico, dice O’Toole.
Con cualquier correo electrónico sospechoso, coloque el cursor sobre la dirección de correo electrónico y verifique que realmente sea del dominio (es decir, la dirección del sitio web) que espera.
O’Toole dice: «Incluso a pesar de la sofisticación de ChatGPT, las direcciones de correo electrónico utilizadas por los phishers siguen siendo las mismas, por lo que si parece sospechoso, probablemente lo sea».
Tenga en cuenta el contexto
Si tu banco o cualquier otra institución te contacta para pedirte información urgente, debes estar alerta de inmediato.
Piense en el contexto: ¿por qué necesitan esta información? ¿Porqué ahora?
O’Toole dice: «Los bancos y las instituciones expertas en seguridad evitan poner a sus clientes en posiciones en las que se solicita información confidencial al instante».
Evitar hipervínculos
Los hipervínculos a sitios web de bancos incrustados en un correo electrónico pueden parecer una forma fácil de hacer las cosas, pero un banco legítimo también le permitirá llamar por teléfono.
O’Toole dice: ‘Si llega un correo electrónico solicitando información personal, nunca haga clic en el enlace. Primero verifica su autenticidad.
«Por ejemplo, si su banco se pone en contacto con usted por correo electrónico solicitando información personal, cuelgue y vuelva a llamar al banco a través del número de teléfono que se encuentra en su sitio web».
Presta atención a la obra de arte.
ChatGPT podría generar una copia clara, pero las bandas criminales no tendrán acceso a los activos digitales correctos.
Eso significa que todo, desde los encabezados de página hasta los enlaces en los que se le pide que haga clic, puede verse mal.
O’Toole dice: «Los atacantes a menudo cortan y pegan imágenes de una empresa directamente desde Internet, pero esto distorsiona la imagen y hace que parezca descolorida o desenfocada». Si alguna imagen o material gráfico en un correo electrónico parece de mala calidad, esto también podría sugerir que se trata de un phishing.
Verifique cualquier correo electrónico contra el sitio web legítimo
Si bien ChatGPT es excelente para generar texto, no lo es para los detalles más finos, lo que podría indicar que un correo electrónico es malicioso, advierte O’Toole.
Ella dice: ‘Cuando reciba un correo electrónico que le preocupe, visite el sitio web del remitente aparente directamente. ¿Hay frases o marcas que tienden a usar en las comunicaciones? ¿Se incluyen estos detalles en el correo electrónico?’
Si algo parece sospechoso, probablemente lo sea.