Twitter se ha convertido en una herramienta con la que cibercriminales recaban información de sus objetivos y en la que envían mensajes de phishing que incrementan la tasa de éxito de este tipo de ataque, mediante la utilización de modelos de inteligencia artificial.

Los ataques de phishing son aquellos en los que un cibercriminal envía un mensaje engañoso a su objetivo, ya sea a través de correo electrónico, mensajería instantánea o redes sociales, para que éste introduzca información personal o para que descargue algún tipo de software malicioso (malware)

De acuerdo con Ladi Adefala, estratega senior de Seguridad de Fortinet, mientras que la tasa de éxito de ataques masivos de phishing por correo electrónico se había reducido de entre 10 y 12% a sólo 4%; los ataques lanzados a través de Twitter mediante Inteligencia Artificial son exitosos en promedio entre 40 y 60% de las ocasiones, lo que se traduce, de acuerdo con el especialista, en la armamentización de la Inteligencia Artificial.

Fortinet colaboró con la Interpol en un caso de phishing a través de Twitter con el que los cibercriminales lograron acceder a información de facturas de una compañía estadounidense y consiguieron robar 61 millones de dólares gracias a esta información.    

Esta no es la primera investigación sobre un ataque de phishing que utiliza inteligencia artificial y redes sociales para lograr su objetivo. En 2017, investigadores de Zerofox presentaron un análisis de lo que llamaron un caso de phishing dirigido automatizado en Twitter. De acuerdo con los investigadores, los atacantes usan Twitter debido a que cuenta con una API amigable con los bots, sintaxis coloquial, enlaces acortados y a que incentiva la divulgación de datos.

Según Zerofox, el aprendizaje automático, una técnica de inteligencia artificial, se puede usar de forma ofensiva para automatizar el phishing dirigido; además de que en Twiiter hay abundancia de datos personales que son accesibles al público y son efectivos para la ingeniería social.

Pero esta no es la única forma en la que los atacantes usan la inteligencia artificial como herramienta maliciosa. De acuerdo con Adefala, los asistentes virtuales también están siendo utilizados como puntos de entrada para cometer fraudes. El especialista mostró un ejemplo de lo que se conoce como skill squatting, que aprovecha las aplicaciones de reconocimiento del lenguaje de Amazon Alexa para extraer información sensible de sus usuarios.

Adefala explicó que un ciberdelincuente puede crear una skill (aplicación de Amazon Alexa) que simule las mismas funciones que las de una marca reconocida de, por poner un ejemplo, una institución bancaria o financiera. Si el usuario descarga dicha skill en lugar de la oficial de la institución, corre el riesgo de que sus datos bancarios sean robados y utilizados para cometer fraude. Se trata de un tipo de ataque similar al que ocurre con aplicaciones falsas dentro de Google Play o Apple Store.   

De acuerdo con el especialista de Fortinet, esto se agrava cuando se considera que con la llegada de las redes 5G, el número de dispositivos conectados por milla cuadrada pasará de 10,000 en la actualidad a un millón cuando la tecnología esté completamente desplegada.

[email protected]