No todo son esas cómicas rimas, retratos estrambóticos y divertidísimos vídeos virales. ChatGPT, Bard, DALL-E, Craiyon, Voice.ai, así como todas las demás herramientas de inteligencia artificial de uso generalizado, son estupendas para pasar la tarde, o para ayudarnos con las tareas escolares o el trabajo; sin embargo, los ciberdelincuentes las usan para llevar a cabo sus planes, lo que añade una dimensión totalmente nueva al phishing, al vishing, al malware y a la ingeniería social.
A continuación se incluyen algunos casos denunciados recientemente de uso de la IA en fraudes, junto con algunos consejos que podrían ponerte sobre aviso si te vieras en esta situación.
1. Fraude de voz con IA
El vishing, o suplantación de identidad por teléfono, no es una nueva estrategia; sin embargo, gracias a los imitadores de voz con IA, estas llamadas telefónicas fraudulentas son ahora más creíbles que nunca. En Arizona, una llamada falsa causó varios minutos de pánico a una familia. La madre recibió una petición de rescate para liberar a la que supuestamente era su hija secuestrada. Por teléfono oía una voz que sonaba exactamente como la de su hija, sin embargo era una copia generada con IA.
En realidad, la hija no había sido secuestrada. Estaba sana y salva. La familia no perdió dinero porque hizo lo correcto: se puso en contacto con las fuerzas de seguridad y mantuvo al teléfono al estafador mientras localizaban a la hija.1
Las estafas de impostores supusieron pérdidas de 2600 millones de dólares en EE. UU. en 2022. Los nuevos fraudes con IA podrían aumentar esa increíble cifra. Según el informe de McAfee Beware the Artificial Imposter (Cuidado con el impostor artificial), alrededor del 25 % de las personas de todo el mundo han sufrido un fraude de voz mediante IA o conocen a alguien que lo ha sufrido. Además, el estudio descubrió que el 77 % de las víctimas de fraude de voz acabaron perdiendo dinero.
Cómo detectar la diferencia
No hay duda, oír a un ser querido en peligro es aterrador, pero si recibes una llamada telefónica supuestamente de un familiar en apuros, intenta, en la medida de lo posible, mantener la calma. Haz todo lo posible por escuchar si es realmente la “voz” de tu ser querido. La tecnología de voz impulsada por IA es impresionante, pero todavía tiene algunos fallos. Por ejemplo, ¿tiene la voz saltos poco naturales? ¿Se cortan las palabras demasiado pronto? ¿El tono de ciertas palabras no coincide del todo con el acento de la persona en cuestión? Para captar estos pequeños detalles, hay que tener la cabeza fría.
Una medida para evitar ser víctimas de fraudes de vishing con IA es establecer una contraseña para la familia. Puede ser una palabra o una frase que signifique algo para vosotros. Guardad esta contraseña y nunca la publiquéis en redes sociales. De este modo, si alguna vez os llama un estafador afirmando ser un familiar o tener a un ser querido retenido, esta contraseña permite determinar si se trata de una emergencia falsa o si es real.
2. Deepfakes para cobrar rescates y anuncios falsos
Los deepfakes, o manipulaciones digitales de imágenes, vídeos o clips de audio auténticos, son una función de la IA que genera mucha inquietud. Pone en tela de juicio el conocido axioma de “ver para creer”. Si no te puedes creer lo que ves, ¿entonces qué es real? ¿Y qué no lo es?
El FBI está advirtiendo al público de una nueva estrategia que emplean los ciberdelincuentes: editan imágenes explícitas y luego chantajean a personas inocentes para que envíen dinero o tarjetas regalo a cambio de no publicar el contenido comprometedor.2
La tecnología para deepfakes también estuvo en el centro de un incidente relacionado con un anuncio falso. Un estafador creó un anuncio falso en el que aparecía Martin Lewis, un reputado experto en finanzas, recomendando un proyecto de inversión. El anuncio de Facebook incluía un deepfake de Lewis para intentar añadir legitimidad a su maléfica operación.3
Cómo responder a las peticiones de rescate y a los anuncios dudosos en Internet
La mejor respuesta a una petición de rescate es no responder. Estás tratando con un delincuente. ¿Quién te dice que no va a divulgar los documentos falsos aunque cedas al rescate? Informa a las fuerzas de seguridad en cuanto se te acerque un estafador, ellos te ayudarán a resolver el problema.
El mero hecho de que una plataforma de redes sociales de confianza albergue un anuncio no significa que el anunciante sea una empresa legítima. Antes de comprar nada o de invertir tu dinero en un negocio que has descubierto en un anuncio, investiga por tus medios los antecedentes de la empresa. Basta con cinco minutos para consultar su clasificación en el Better Business Bureau, o en la OCU o FACUA en España, para determinar si la empresa tiene buena reputación.
Para identificar un deepfake de vídeo o imagen, comprueba si hay sombras e iluminación que no casan, o distorsiones en la cara y las manos de las personas. Ahí es donde es más probable que detectes pequeños detalles que indican que algo no encaja. Como ocurre con las voces generadas mediante IA, la tecnología de deepfakes suele ser precisa, pero no es perfecta. También puedes probar McAfee Deepfake Detector, que identifica el audio generado con IA en cuestión de segundos.
3. Malware y emails de phishing generados por IA
Las herramientas de generación de contenido disponen de medidas para evitar que se cree texto que pueda utilizarse ilegalmente; sin embargo, algunos ciberdelincuentes han encontrado formas de eludir esas reglas y usan ChatGPT y Bard para facilitar sus operaciones de malware y phishing. Por ejemplo, si un delincuente pidiera a ChatGPT que escribiera un malware de registro de pulsaciones, la herramienta se negaría. Pero si lo reformula y le pide que elabore un código que capture las pulsaciones de las teclas, es posible que sí atienda a esa petición. Un investigador demostró que hasta alguien con pocos conocimientos de codificación podría utilizar ChatGPT, lo que pone la creación de malware al alcance de cualquiera.4 Del mismo modo, las herramientas de generación de texto mediante IA pueden crear emails de phishing convincentes rápidamente. En teoría, esto podría acelerar la operación de phishing y ampliar su alcance.
Cómo evitar el malware creado con IA y los intentos de phishing
Para evitar el malware y los mensajes de phishing generados con IA hay que aplicar la misma filosofía que cuando se trata de contenido creado por humanos: sé cauto y desconfía de cualquier cosa que levante sospechas. Para evitar el malware, limítate a sitios web en los que sepas que puedes confiar. Con una herramienta de navegación segura, como la de protección web de McAfee, incluida en McAfee+, te mantendrás lejos de sitios web poco fiables.
En cuanto al phishing, cuando veas emails o SMS que exijan una respuesta rápida o parezcan fuera de lo normal, mantente alerta. Los mensajes de phishing tradicionales suelen estar plagados de erratas, faltas de ortografía y errores gramaticales. Los señuelos escritos con IA están normalmente bien escritos y rara vez contienen errores. Esto significa que debes ser diligente a la hora de examinar todos los mensajes de tu bandeja de entrada.
Despacio, con calma y con confianza
Mientras se intensifica el debate sobre cómo regular la IA, lo mejor que puedes hacer es utilizarla de forma responsable. Sé transparente cuando la uses y si sospechas que has dado con un uso malintencionado de esta tecnología, detente e intenta evaluar la situación con serenidad. La IA puede crear contenido convincente, sin embargo, debes confiar en tu instinto y seguir las recomendaciones que hemos expuesto, para mantener tu dinero e información personal fuera del alcance de los ciberdelincuentes.
1 CNN, “Mom, these bad men have me’: She believes scammers cloned her daughter’s voice in a fake kidnapping“
2 NBC News, “FBI warns about deepfake porn scams“
3 BBC, “Martin Lewis felt ‘sick’ seeing deepfake scam ad on Facebook“
4 Dark Reading, “Researcher Tricks ChatGPT Into Building Undetectable Steganoraphy Malware”
Mantente al día
Síguenos para mantenerte al día de las novedades de McAfee y estar al tanto de las amenazas de seguridad más recientes para particulares y dispositivos móviles.
