Artículo elaborado por Jesús González, director de Seguridad de la Información y Desarrollo Proyectos Corporativos
Aprovechando la celebración del Día Internacional de la Seguridad Informática, hoy 30 de noviembre, os traigo un interesantísimo documento elaborado por Aiwin “El cibertaque que viene” en el que nos explican las nuevas amenazas en las que se entremezclan los avances tecnológicos y el uso de disparadores motivacionales para conseguir su finalidad, que no es otra que rentabilizar económicamente sus ataques.
El primero de los casos que podéis leer en el documento es el que se conoce como DEEPFAKE. Consiste en como los atacantes, aprovechando el incremento del uso de las videollamadas en el ámbito laboral, utilizan la inteligencia artificial para crear simulaciones de apariencia, de gestos o incluso de la voz de altos cargos de las compañías para conseguir que, empleados de éstas, realicen transferencias económicas ilegítimas. En este caso se aprovechan de un proceso mental que se conoce como sesgo de autoridad por el que tendemos a creer que las opiniones de las personas que tienen autoridad sobre nosotros tienen más probabilidad de ser correctas.
Para el siguiente caso los ciberdelincuentes utilizan los BOTS DE VOZ y la suplantación de identidad de otra persona a través de una línea telefónica o de mensajes de voz. Para poder llevar a cabo este ataque los cibercriminales deben tener previamente el nombre de usuario o dirección de correo y contraseña de la cuenta a la que desean acceder, pero no es tan complicado si pensamos la cantidad de veces que repetimos nuestros datos (email y contraseña) en distintas páginas web. En ese caso las pueden conseguir gracias a las filtraciones de datos cuando se producen ciberataques en otras páginas, por eso es tan importante no utilizar la misma contraseña.
La operativa de este fraude es el siguiente, los atacantes intentan acceder a la cuenta, por ejemplo, PayPal, con el usuario y contraseña conseguidos de la filtración. En ese momento, y dado que está activado el doble factor autenticación, PayPal envía un SMS legítimo para permitir el acceso. Es en este preciso momento, el bot de los ciberdelincuentes lo detecta y lanza una llamada a la víctima haciéndose pasar por PayPal con el pretexto de un movimiento sospechoso pidiéndole que introduzca el código recibido.
En este caso se aprovechan de dos procesos mental, uno, el sesgo de automatización por el que tendemos a favorecer las sugerencias de los sistemas automatizados en las tomas de decisiones, y otro, la compensación del riesgo, ajustamos nuestro comportamiento en función del riesgo percibido.
Os recomiendo la lectura del informe en el que podréis ver muchos más casos interesantes en los que se utilizan tecnologías de uso muy común hoy en día, como los CHATBOT o los famosos códigos QR, también hay ataques de ingeniería social o incluso la suplantación a través del correo postal para usar medios digitales.
