IA en la ciberdelincuencia: los modelos lingüísticos amplifican las estafas de phishing
Las páginas de phishing creadas con IA son difíciles de detectar, pero dejan rastros que los investigadores pueden identificar
Expertos del Centro de Investigación de IA de Kaspersky han descubierto que los ciberdelincuentes utilizan cada vez más modelos de lenguaje a gran escala (LLM, por sus siglas en inglés) para generar contenido en ataques de phishing y llevar a cabo grandes estafas. A medida que los actores de amenazas intentan crear webs fraudulentas en grandes volúmenes, a menudo dejan huellas distintivas, como frases específicas de IA, que diferencian estas páginas de aquellas creadas manualmente. Hasta ahora, la mayoría de los ejemplos de phishing observados por Kaspersky tienen como objetivo los usuarios con carteras de criptomonedas.
Los expertos de Kaspersky analizaron una muestra de recursos, identificando características clave que ayudan a distinguir y detectar casos en los que se utilizó IA para generar contenido o incluso páginas web completas de phishing y estafas. Uno de los signos destacados del texto generado por LLM es la presencia de descargos de responsabilidad y negativas a ejecutar comandos, incluidas frases como: “Como modelo de lenguaje de IA…”. Por ejemplo, dos páginas de phishing dirigidas a usuarios de KuCoin contienen este tipo de lenguaje.
Otro indicador distintivo del uso de modelos de lenguaje es la presencia de cláusulas concesivas, como: “Si bien no puedo hacer exactamente lo que deseas, puedo intentar algo similar”. En otros ejemplos dirigidos a usuarios de Gemini y Exodus, el LLM se niega a proporcionar instrucciones detalladas de inicio de sesión.
“Con los LLM, los atacantes pueden automatizar la creación de docenas o incluso cientos de páginas web de phishing y estafa con contenido único y de alta calidad. Anteriormente, esto requería esfuerzo manual, pero ahora la IA puede ayudar a los actores de amenazas a generar tal contenido automáticamente”, explica Vladislav Tushkanov, gerente del grupo de desarrollo de investigación de Kaspersky.
Los LLM se pueden utilizar para crear no solo bloques de texto, sino páginas web completas, con artefactos que aparecen tanto en el texto como en áreas como metaetiquetas: fragmentos de texto que describen el contenido de una página web y aparecen en su código HTML.
Existen otros indicadores de uso de IA en la creación de webs fraudulentas. Algunos modelos, por ejemplo, tienden a usar frases específicas como “explorar”,“en el panorama en constante evolución” y “en el mundo en cambio constante”. Aunque estos términos no se consideran indicadores fuertes de contenido generado por IA, pueden verse como señales.
Otra característica del texto generado por un modelo de lenguaje es la indicación de hasta dónde llega el conocimiento del modelo sobre el mundo. El modelo suele expresar esta limitación usando frases como “según mi última actualización en enero de 2023”. El texto generado por LLM se combina a menudo con tácticas que complican la detección de páginas de phishing para las herramientas de ciberseguridad. Por ejemplo, los atacantes pueden usar símbolos Unicode no estándar, como aquellos con signos diacríticos o de notación matemática, para ofuscar el texto y evitar la detección por sistemas basados en reglas.
“Los modelos de lenguaje de gran escala están mejorando, y los ciberdelincuentes están explorando formas de aplicar esta tecnología para fines maliciosos. Sin embargo, los errores ocasionales brindan información sobre su uso de estas herramientas, concretamente sobre el creciente alcance de la automatización. Con futuros avances, distinguir el contenido generado por IA del texto escrito por humanos podría volverse más desafiante, lo que hace crucial utilizar soluciones de seguridad avanzadas que analicen información textual junto con metadatos y otros indicadores de fraude”, señaló Vladislav Tushkanov.
En este sentido, Kaspersky ofrece recomendaciones de protección contra el phishing:
• Verifica la ortografía de los hipervínculos. A veces, los correos electrónicos y páginas web de phishing parecen exactamente igual que los sitios oficiales, dependiendo cómo haya sido elaborada la trampa por parte de los ciberdelincuentes. Sin embargo, es probable que los hipervínculos contengan errores ortográficos o te redirijan a otro lugar.
• Introduce la dirección web directamente en el navegador. Si un correo electrónico contiene un enlace, en lugar de acceder al mismo directamente, revísalo para verificar si parece correcto y busca el oficial. Las webs peligrosas pueden parecer idénticas a las legítimas.
• Adquiere una solución de seguridad actual, ya que estas proporcionan características de navegación segura que protegen contra páginas peligrosas, descargas y extensiones.
El informe completo con ejemplos y análisis adicionales está disponible en Securelist.
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha frente a ciberamenazas emergentes y ataques específicos, la profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, productos y servicios de seguridad especializados, así como Cyber Immune, soluciones de seguridad para ciberamenazas. Ayudamos a más de 200.000 clientes corporativos a proteger lo que más les importa.