Durante 2024 se estima que la Inteligencia Artificial jugará un papel imprescindible para la creación y consolidación de riesgos de ciberseguridad ya latentes como el vishing, phishing y el uso de códigos QR. Durante el último año, la IA se encuentra al alcance del usuario final abriendo camino a recopilar información y replicar voces que pueden ser utilizadas en tácticas de vishing. Aunque los expertos en seguridad piensen que es fácil reconocer estas tácticas de estafa tan obvias, se estima que esta táctica se multiplicaran por diez gracias a la IA, de acuerdo con información de WatchGuard.
Un reporte de WatchGuard Technologies indica que a partir del 2021 el phishing de voz, mejor conocido como “vishing”, aumentó más de un 550% interanual entre el primer trimestre de ese año y el primer trimestre de 2022. Este tipo de ingeniería social se ha establecido como una táctica tan eficaz para los delincuentes debido a que se busca coerción a través de una llamada de “personas de confianza”.
“En el último semestre del año, vimos cómo la cultura popular recopiló y recreo voces y lenguaje de personalidades del espectáculo, cantantes, deportistas, entre otros. Mostrando que la data y la IA está al alcance de cualquier usuario, permitiendo que grupos de estafadores consoliden esta táctica como un negocio y poniendo cada vez en mayor riesgo a sectores vulnerables”, mencionó Gustavo Uribe, experto en ciberseguridad de WatchGuard Technologies.
Una de las tácticas más comunes se producen cuando un estafador llama haciéndose pasar por una empresa u organización de confianza o incluso por un compañero de trabajo (o el jefe de alguien) e intenta que haga algo que pueda monetizar. Otro tipo de vishing común, es cuando el estafador se hace pasar por una persona de autoridad, relacionándose con algún delito, manteniéndolo al teléfono y utilizando el miedo y confusión para suspender su buen juicio con el objetivo de coaccionar para que la víctima comparta información personal.
Hasta el momento, lo único que frena este ataque es su dependencia de la fuerza humana; pese a que la tecnología VoIP y la automatización facilitan la marcación masiva de miles de números, y dejan mensajes o redirigen a las víctimas que tienen la mala suerte de contestar, una vez que se les ha incitado a ponerse en línea, un estafador humano debe hacerse cargo de la llamada para atraerlos.
Los ciberdelincuentes o bandas de vishing acaban siendo grandes centros de llamadas en determinadas zonas del mundo, muy similares a los centros de llamadas de asistencia, donde muchos empleados tienen guiones diarios para realizar estafas. Al hablar con un humano real, esa persona tendrá diferentes objeciones y preguntas, y se asegurará de rodar convincentemente con las preocupaciones de la víctima, lo que contribuye a su éxito general de vishing, esta dependencia del capital humano es una de las pocas cosas que limitan la escala de las operaciones de vishing.
“Aunque los expertos en seguridad piensen que es fácil reconocer estas tácticas de estafa tan obvias, el uso del miedo a las repercusiones legales o la amenazas pueden ser muy eficaces contra la persona media, ya que, por desgracia, seguir las últimas tácticas de ingeniería social y estafa sigue sin ser la norma. El vishing se ha establecido como una táctica tan eficaz para los delincuentes por esta misma razón”, mencionó Gustavo Uribe.
Se estima que la combinación de audio deepfake convincente y grandes modelos de lenguaje (LLM) capaces de mantener conversaciones con víctimas desprevenidas aumentará enormemente la escala y el volumen de las llamadas de vishing aumentará durante 2024, en el que se visualiza que pronto dejarán de requerir la participación de un agente de amenazas humano.