Los avances imparables de la IA son tentadores para hackers y bandas criminales organizadas en el universo digital
Sebastián Fernández
| 18 oct 2024
¿A quién no le ha ocurrido alguna vez en los últimos tiempos? Un número que no está en la agenda de contactos aparece en pantalla… El móvil suena y cuando lo coges, del otro lado de línea reina el silencio. La llamada está activada y los primeros segundos transcurren. El receptor dice “Hola”, “Holaaa”, “¿Quién es?” una y otra vez, para saber quién está del otro lado, y qué quiere quien le llama. Finalmente, ante el mutismo, decide colgar el teléfono.
Si usted ha atravesado este tipo de situaciones, puede haber sido víctima de ‘Vishing’. Esta es una de las últimas estrategias de la ciberdelincuencia que utiliza la inteligencia artificial (IA) para robar y apropiarse de lo ajeno.
Sí, con cada vez mayor frecuencia, la IA también puede estar en manos de los ‘malos’. Los avances imparables de esta tecnología disruptiva son tentadores para hackers y bandas criminales organizadas en el universo digital, que adecuan sus modus operandi y los perfeccionan para cobrarse víctimas, cuyo número crece a diario. A continuación, estos son algunos de los delitos que ganan más espacio y están vinculados al uso de la IA para fines más que turbios:
Su nombre es inglés surge de mezclar los términos “voice” y “phishing“. Los expertos en seguridad también lo conocen en su jerga como el timo de la doble llamada. Sobre sus peligros ya ha advertido hasta la OSI (Oficina de Seguridad del Internauta), y es frecuente que los bancos envíen a sus clientes emails preventivos alertando sobre esta práctica cada vez más recurrente.
Hay dos modalidades. O, mejor dicho, dos fases de vishing. La primera es la de la llamada de número oculto o desconocido, en la que nadie que llama habla o emite palabra alguna. En ese caso, se está activando una especie de ‘grabadora’ inteligente de sonidos. Las palabras, frases, o expresiones que desliza el receptor, desconcertado o indignado ante su insistencia por intentar saber -en vano- quién se ha comunicado con él, después son utilizadas por ciberdelincuentes especializados en IA. Ellos ‘cocinan’ esos tonos, timbres de voz, formas de hablar de la víctima, para intentar reproducirla o ‘clonarla’.
Una vez concretado este paso, ‘fabrican’ frases adaptadas por robots y la mesa está servida para la segunda secuencia de esta maniobra: días o semanas después, familiares, allegados o amigos de la persona a quien le ‘secuestraron’ (sin darse cuenta) el ‘molde’ de su tono de voz, reciben otra llamada. Pero, ¿cómo consiguieron ese número de teléfono? El cruce de datos, la filtración de bases que circulan en las sombras, los contactos que esa persona tiene en redes y su interacción con ellos, abren ventanas insospechadas… Volviendo a la segunda llamada, aquí sí quien la recibe escucha en la línea a ‘alguien’ con una voz indudablemente familiar o conocida. Claro que -generalmente- repite bastante lo mismo, suele decir que tiene poca cobertura o que hay problemas en la línea, y pide una transferencia de dinero urgente, por los motivos más variados. Se le perdió la billetera en la calle, le han robado dinero en el metro, la tarjeta de crédito no funciona porque está ‘imantada’ al intentar pagar en un comercio, etc etc etc.
Hay otra variante: los robots gobernados por delincuentes no se hacen pasar por el círculo cercano de la víctima al llamarlos, reproduciendo sus voces, sino que simulan ser un empleado de su banco. Llaman siempre desde un número en el que incluso aparece en la pantalla el nombre de la entidad. Este tipo de delitos muestra tal evolución que los ladrones son capaces de suplantar el número oficial del banco.
Durante la comunicación, dirán que necesitan algún dato personal del cliente, para que éste no sospeche nada. También pueden enviar un SMS de verificación, haciendo que incluso le llegue el hilo oficial de mensajes de Santander. Finalmente, acaban pidiendo datos personales, bancarios o incluso códigos de verificación de transferencias que llegan por SMS.
Esta maniobra es fruto del (vil) uso de la inteligencia artificial generativa. Los villanos utilizan GPT-4 para inferir información sensible de una persona. Es más, servicios como Go-Mail Pro, integrando el ChatGPT, permite a los ciberatacantes mejorar el contenido de los mensajes que luego envían a sus víctimas.
El llamado doxing o doxxing (abreviatura inglesa de dropping dox) consiste en amenazar con publicar la información sensible y privada de una víctima para intimidar o extorsionar. ¿Y cómo se hace? Los ciberdelincuentes realizan una investigación previa para recopilar información sobre una persona y publicarla en la red con el fin de incitar al acoso.
Para acceder a esa información, las llaves son muchas: se nutren de números de teléfono y de seguridad social, fotos e información personal, direcciones y datos de domicilios y centros de trabajo, información sobre cuentas bancarias y tarjetas, etc.
Las personas más vulnerables de caer en las garras de los villanos son aquellas que suelen publicar información personal clave (viajes, ubicación, trabajo, fotos de sus hijos menores de edad…) en redes sociales. Y lo hacen de manera abierta, sin restringir su acceso a los perfiles de amigos. También, son blanco fácil quienes no realizan una gestión correcta de las contraseñas (no poseen claves seguras, no las cambian con asiduidad y utilizan siempre la misma contraseña en distintas cuentas).
Millones de personas en el mundo aún no se han introducido en el mundo de ChatGPT. En consecuencia, los hackers se están aprovechando de la situación por múltiples acciones.
Entonces, han comenzado a proliferar las aplicaciones falsas que prometen un uso de ChatGPT “más sencillo” y “más accesible”. Las personas mayores de 65 o 70 años suelen ser carne de cañón para los delincuentes que apelan a esta técnica. Muchos ciudadanos que aún no son demasiado duchos en el uso de las nuevas tecnologías, pero intentan como pueden desenvolverse en la era digital, desconocen que la única garantía de seguridad posible es acceder a los chatbots de este servicio a través de la web oficial de su artífice, la plataforma OpenAI.
Pero la ignorancia tecnológica lleva a que los inocentes se descarguen programas y extensiones de spam. Es decir, en lugar de un programa de IA, la víctima descarga en su ordenador o dispositivo móvil malware, con el que los atacantes pueden acceder a información confidencial, como contraseñas o datos bancarios. Esa información redirige a las cuevas sombrías de hackers.
Las secuencias de esta técnica suelen ser así: aparece una página web fraudulenta que incita a pinchar en un botón para conseguir el supuesto instalador de la herramienta. No obstante, lo que se descarga en el dispositivo del indefenso es malware, con el que podrían monitorizar toda su actividad.
A partir de allí, los villanos harán todo lo que se pueda imaginar, para desgracia de los pobres usuarios que solo querían probar cómo realmente funcionaba una herramienta que hoy está en boca de todo el planeta… El objetivo es el robo de información que puede ir relacionada desde contraseñas almacenadas en aplicaciones del sistema a datos bancarios o de carteras de criptomonedas, pasando por datos relativos al historial de navegación o incluso las cookies de sesión.
Krack es la sigla de “Key Reinstallation Attack” (Ataque de reinstalación de clave). Se trata de un ataque de reproducción en el protocolo de acceso protegido wifi (WPA2), que protege las conexiones wifi. Los hackers, a través de esta tecnología disruptiva, utilizan el Krack para explotar una vulnerabilidad del protocolo de seguridad Wifi WPA2 y leer los datos cifrados. Cuando están cerca de una posible víctima, los atacantes pueden acceder y leer los datos cifrados mediante Krack.
Un cliente de wifi utiliza un “hands-hake” (o “aviso”) de cuatro vías al intentar conectarse a una red protegida. El handshake confirma que tanto el cliente (su smartphone, portátil, etc.) como el punto de acceso comparten las credenciales adecuadas, normalmente una contraseña para la red. De esta manera, se establece la Pairwise Master Key (PMK), que permite el cifrado de datos.
Este procedimiento de handshake hace que las conexiones e inicios de sesión sean rápidos y establece una nueva clave de cifrado con cada conexión. Así se protegen los datos en conexiones wifi. Además, todas las conexiones wifi protegidas utilizan el handshake de cuatro vías para seguridad. Este protocolo es el motivo por el que se anima a los usuarios a utilizar wifi privado o protegido con credenciales en lugar de conexiones públicas.
Los ciberhackers se detienen en ese tercer paso del handshake, lo que hace que manipule y reproduzca la clave de cifrado WPA2 para engañar al usuario e instalar una clave que ya está en uso. Una vez se ha reinstalado la clave, se restablecen a sus valores originales otros parámetros asociados con ella, que son el número de paquetes transmitidos progresivamente, llamado “nonce”, y el contador de reproducción.
En lugar de cambiar al cuarto paso del handshake de cuatro vías, el nonce se restablece continuamente para reproducir transmisiones del tercer paso. Así se establece el protocolo de cifrado para el ataque y, en función de cómo los atacantes reproduzcan las transmisiones del tercer paso, pueden acabar con la seguridad wifi.
Cuando una persona se registra en una página web, con una determinada clave de acceso, esa contraseña se “transforma” en lo que se denomina hash, que es una serie de caracteres con los que queda almacenada en esa página.
En caso de que un pirata informático consiga acceder a la base de datos de ese sitio web, podría encontrarse con ese hash almacenado. La inteligencia artificial, le ayuda a descifrar cuál es la contraseña real que corresponde con ese hash.
Pero para resolverlo, es necesario que la ciberdelincuencia lleve a cabo procesos matemáticos. Lógicamente, no son sencillos, porque el objetivo de los escudos antivirus es proteger las contraseñas. Pero la inteligencia artificial tiene la capacidad de realizar operaciones más rápidamente y poder procesar grandes conjuntos de datos. Incluso podría llegar a romper algunos métodos de cifrado.
Hace pocos meses se conoció que se produjo en el mundo la mayor filtración de datos de recopilación de contraseñas de la historia. Casi 10.000 millones de personas resultaron damnificadas en los foros de la dark web.
El documento llevaba de nombre ‘rockyou2024.txt’ y fue publicado por el usuario ObamaCare el pasado 4 de julio. No era la primera vez que lo hacía. Ya en 2021 se filtró otro documento con el nombre ‘rockyou2021.txt’. Aquella vez, el contenido ascendía a más de 8.400 millones de contraseñas.
La capacidad de los hackers de colarse y descifrar, a través de IA, las keys (llaves, en inglés) o contraseñas de usuarios para acceder a sus ordenadores o aplicaciones, es conocida como la técnica de keyping.
Esa filtración consistió en una mezcla de brechas de seguridad antiguas y otras nuevas. El documento hace referencia a la filtración de datos de RockYou en 2009 en la que se filtraron 32 millones de contraseñas. Todas ellas, junto a las de 2021, fueron incluidas también en este último documento, gracias al big data.
Los ciberdelincuentes podrían haber aprovechado la recopilación de contraseñas de RockYou2024 para realizar ataques de fuerza bruta y obtener acceso no autorizado a varias cuentas en línea utilizadas por usuarios que empleaban contraseñas incluidas en el documento.
A los usuarios, los expertos les recomiendan aumentar su seguridad cambiando las contraseñas de manera periódica, habilitar siempre la autenticación de doble factor en los servicios en los que se incluya, y utilizar software como un gestor de contraseñas para intentar blindarse más. Asimismo, siempre es mejor usar contraseñas distintas para cada servicio o plataformas de las que hacen uso.