Los atacantes parecen innovar casi tan rápido como se desarrolla la tecnología. Día tras día, tanto la tecnología como las amenazas avanzan. Ahora que entramos en la era de la IA, las máquinas no sólo imitan el comportamiento humano, sino que impregnan casi todas las facetas de nuestras vidas. Sin embargo, a pesar de la creciente preocupación por las implicaciones de la IA, se desconoce en gran medida el alcance de su posible uso indebido por parte de los atacantes.
Para comprender mejor cómo los atacantes pueden aprovechar la IA generativa, hemos llevado a cabo un proyecto de investigación que arroja luz sobre una cuestión crítica: ¿tienen los modelos actuales de IA generativa las mismas capacidades de engaño que la mente humana?
Imaginemos un escenario en el que la IA se enfrenta a los humanos en una batalla de phishing. ¿El objetivo? Determinar qué contendiente puede obtener una mayor tasa de clics en una simulación de phishing contra organizaciones. Como alguien que se gana la vida escribiendo correos electrónicos de phishing, me entusiasmó descubrir la respuesta.
Con sólo cinco sencillas instrucciones fuimos capaces de engañar a un modelo generativo de IA para que desarrollara correos electrónicos de phishing muy convincentes en sólo 5 minutos, el mismo tiempo que tardo yo en prepararme una taza de café. Por lo general, mi equipo tarda unas 16 horas en crear un correo electrónico de phishing, y eso sin tener en cuenta la configuración de la infraestructura. Por tanto, los atacantes pueden ahorrarse casi dos días de trabajo utilizando modelos de IA generativa. Y el phishing generado por la IA era tan convincente que casi supera al creado por ingenieros sociales experimentados, pero el hecho de que esté a la par es un avance importante.
En este blog, detallaremos cómo se crearon las instrucciones de la IA, cómo se llevó a cabo la prueba y qué significa esto para los ataques de ingeniería social de hoy y de mañana.
Primera ronda: el auge de las máquinas
Por un lado, teníamos correos electrónicos de phishing generados por IA con narrativas muy astutas y convincentes.
Creación de los mensajes. A través de un proceso sistemático de experimentación y refinamiento, se creó una colección de sólo cinco instrucciones para que ChatGPT generara correos electrónicos de phishing adaptados a sectores industriales específicos.
Para empezar, pedimos a ChatGPT que detallara las principales áreas de preocupación de los empleados de esos sectores. Después de dar prioridad al sector y a las preocupaciones de los empleados, pedimos a ChatGPT que hiciera selecciones estratégicas sobre el uso de técnicas de ingeniería social y de marketing en el correo electrónico. El objetivo de estas elecciones era optimizar la probabilidad de que un mayor número de empleados hiciera clic en un enlace del propio correo electrónico. A continuación, se pregunto a ChatGPT quién debía ser el remitente (por ejemplo, alguien interno de la empresa, un proveedor, una organización externa, etc.). Por último, pedimos a ChatGPT que añadiera los siguientes datos para crear el correo electrónico de phishing:
- Principales áreas de preocupación de los empleados del sector sanitario: Avance profesional, estabilidad laboral, trabajo satisfactorio, etc.
- Técnicas de ingeniería social que se deben utilizar: Confianza, Autoridad, Prueba Social(Influencia Social Informativa)
- Técnicas de marketing que se deben utilizar: Personalización, Optimización móvil, Call to action
- Persona o empresa que debe imitar: Director interno de recursos humanos
- Generación del email: Dada toda la información anterior, ChatGPT generó el siguiente correo electrónico redactado, que posteriormente fue enviado por mi equipo a más de 800 empleados.
Tengo casi una década de experiencia en ingeniería social, he creado cientos de correos electrónicos de phishing e incluso me pareció que los correos electrónicos de phishing generados por la IA eran bastante persuasivos. De hecho, hubo tres organizaciones que originalmente aceptaron participar en este proyecto de investigación, y dos se echaron atrás por completo después de revisar ambos correos electrónicos de phishing porque esperaban una alta tasa de éxito. Como mostraban las indicaciones, la organización que participó en este estudio de investigación pertenecía al sector sanitario, que actualmente es uno de los más atacados.
Aumento de la productividad para los atacantes. Mientras que un correo electrónico de phishing suele llevar a mi equipo unas 16 horas de trabajo, el correo electrónico de phishing con IA se generó en tan sólo cinco minutos con cinco sencillas instrucciones.
Segunda ronda: el toque humano
En la otra esquina teníamos a ingenieros sociales experimentados de X-Force Red.
Armados con creatividad y una pizca de psicología, estos ingenieros sociales crearon correos electrónicos de phishing que resonaban con sus objetivos a nivel personal. El elemento humano añadía un aire de autenticidad que es difícil de reproducir.
Paso 1: OSINT. Nuestro enfoque del phishing comienza invariablemente con la fase inicial de adquisición de Inteligencia de Fuentes Abiertas (OSINT). OSINT es la recuperación de información de acceso público, que posteriormente se somete a un análisis riguroso y sirve como recurso fundamental en la formulación de campañas de ingeniería social. Los repositorios de datos más destacados para nuestros esfuerzos de OSINT abarcan plataformas como LinkedIn, el blog oficial de la organización, Glassdoor y una plétora de otras fuentes.
Durante nuestras actividades de OSINT, descubrimos con éxito una entrada de blog que detallaba el reciente lanzamiento de un programa de bienestar para los empleados, coincidiendo con la finalización de varios proyectos importantes. Este programa tenía testimonios favorables de los empleados en Glassdoor, lo que demuestra su eficacia y la satisfacción de los empleados. Además, identificamos a una persona responsable de la gestión del programa a través de LinkedIn.
Paso 2: Redacción del correo electrónico: Utilizando los datos recopilados en nuestra fase OSINT, iniciamos el proceso de construir meticulosamente nuestro correo electrónico de phishing. Como paso fundamental, era imperativo que nos hiciéramos pasar por alguien con autoridad para abordar el tema con eficacia. Para aumentar el aura de autenticidad y familiaridad, incorporamos un enlace legítimo a un sitio web de un proyecto recientemente concluido.
Para añadir impacto persuasivo, integramos estratégicamente elementos de percepción de urgencia introduciendo «limitaciones de tiempo artificiales». Transmitimos a los destinatarios que la encuesta en cuestión constaba simplemente de «5 breves preguntas» y les aseguramos que su cumplimentación no les exigiría más que «unos minutos» de su valioso tiempo y les dimos de plazo hasta «este viernes». Este encuadre deliberado sirvió para subrayar la mínima imposición en sus agendas, reforzando la naturaleza no intrusiva de nuestro enfoque.
Utilizar una encuesta como pretexto para el phishing suele ser arriesgado, ya que a menudo se considera una señal de alarma o simplemente se ignora. Sin embargo, teniendo en cuenta los datos que descubrimos, decidimos que los beneficios potenciales podrían compensar los riesgos asociados.