Diego León, CEO de Flameera, explica cómo el quishing, el uso de IA en whale phishing y las nuevas tácticas de ingeniería social están transformando la ciberseguridad.
El panorama de la ciberseguridad está en constante evolución. A medida que las empresas refuerzan sus defensas, los ciberdelincuentes desarrollan nuevas técnicas para sortearlas. Dos de las técnicas que han ganado protagonismo recientemente son el uso de códigos QR en ataques de phishing y el uso de inteligencia artificial para mejorar los ataques de whale phishing, en los que los delincuentes dirigen los intentos de ingeniería social contra altos ejecutivos.
El uso de códigos QR en ataques de phishing, también conocido como quishing, se ha disparado en los últimos meses. ¿Por qué los atacantes han apostado por los códigos QR? La razón principal es que permiten evadir muchas de las medidas de seguridad implementadas en los sistemas de correo electrónico actuales.
Las plataformas de seguridad en el correo suelen analizar enlaces dentro del cuerpo del mensaje y los archivos adjuntos incluidos, pero un código QR es simplemente una imagen. Los atacantes incrustan estos códigos en correos electrónicos o documentos PDF para dirigir a los usuarios a sitios maliciosos sin que los filtros de seguridad puedan detectarlo. Además, muchos usuarios escanean estos códigos desde dispositivos móviles personales, que a su vez no están protegidos por las mismas medidas de seguridad que sus ordenadores y móviles de trabajo.
Una vez que el usuario accede a la página fraudulenta, el atacante puede solicitar credenciales, ejecutar descargas maliciosas o incluso realizar ataques de browser-in-the-middle para capturar información en tiempo real. La combinación de la facilidad de implementación y la baja tasa de detección hace que el quishing sea una de las amenazas en crecimiento más preocupantes.
Pero los ciberataques con QR no son los únicos que amenazan la seguridad digital de las compañías. El whale phishing o spear-phishing dirigido a altos ejecutivos no es nuevo, pero su sofisticación ha alcanzado niveles alarmantes. En enero de 2024, un trabajador del departamento financiero de una empresa multinacional transfirió 25 millones de dólares a una cuenta fraudulenta tras recibir instrucciones en una videollamada en la que participaban varios directivos. Todo era falso. Los atacantes utilizaron deepfakes para suplantar al CFO de la compañía, engañando por completo al empleado.
Casos como este reflejan el crecimiento exponencial de los fraudes basados en inteligencia artificial. De acuerdo con el informe “The Battle Against AI-Driven Identity Fraud” de Signicat, los intentos de fraude con deepfakes han crecido un 2137% en los últimos tres años. Los ciberdelincuentes pueden ahora replicar voces, imitar rostros y manipular videollamadas en tiempo real, lo que hace que el fraude sea cada vez más convincente y difícil de detectar.
Las empresas deben asumir que la suplantación de identidad digital ha alcanzado un nivel crítico. Ya no basta con verificar correos electrónicos o llamadas, por lo que tareas críticas deben contar con protocolos de validación reforzados. Las políticas de verificación de identidad deben reforzarse con protocolos de autenticación multifactor (MFA), verificaciones cruzadas por diferentes canales y la formación constante de los empleados en seguridad.
Inteligencia Artificial: ¿aliado o enemigo?
La IA está revolucionando la ciberseguridad en ambas direcciones. Por un lado, proporciona herramientas avanzadas para detectar patrones sospechosos, automatizar la respuesta ante incidentes y fortalecer la seguridad predictiva. Por otro, también está al servicio de los ciberdelincuentes, quienes la utilizan para mejorar la calidad de sus ataques.
Ejemplo de ello es el uso de IA para la creación de correos de phishing hiperpersonalizados. Los atacantes pueden analizar grandes volúmenes de datos de redes sociales y correos filtrados para generar mensajes convincentes con técnicas de procesamiento de lenguaje natural.
Además, las IA generativas permiten a atacantes sin conocimientos técnicos desarrollar malware avanzado, escribir scripts de automatización para ataques y crear chatbots fraudulentos que simulan asistencia técnica. Incluso los ataques de denegación de servicio (DDoS) pueden optimizarse mediante aprendizaje automático, permitiendo a los atacantes ajustar sus tácticas en tiempo real según la respuesta de las defensas.
La evolución de las técnicas de ataque exige una respuesta igualmente dinámica y adaptativa. Algunas medidas clave incluyen:
- Concienciación y formación: los empleados deben recibir formación continua sobre las nuevas técnicas de phishing y suplantación de identidad.
- Autenticación multifactor (MFA): se deben utilizar múltiples mecanismos para verificar que el usuario es quien dice ser, como contraseñas, aplicaciones de autenticación, o datos biométricos. Esta técnica es imprescindible para mitigar los ataques de robo de credenciales.
- Análisis de comportamiento: los sistemas de detección de anomalías basados en IA pueden identificar accesos y actividades sospechosas.
- Políticas de verificación en transacciones financieras: deben existir revisiones manuales en operaciones críticas para prevenir fraudes.
- Uso de navegadores y dispositivos corporativos para escaneo de QR: se debe evitar el uso de dispositivos personales y aplicar filtros de seguridad en los dispositivos corporativos.
En definitiva, la ciberseguridad es un juego de adaptación constante. A medida que las amenazas evolucionan, también deben hacerlo las estrategias de defensa. Los ataques con QR, el uso malicioso de la IA y el whale phishing son solo la punta del iceberg de lo que está por venir.
Las empresas que asuman que la ciberseguridad es una inversión estratégica y adopten un enfoque proactivo estarán mejor preparadas para afrontar el futuro digital. Y ante la duda, siempre es recomendable contar con especialistas que guíen en este desafiante escenario.
