Se han confirmado los peores temores de la IA: se avecina una oleada de ataques de phishing contra tu correo electrónico

La inteligencia artificial es una tecnología que va a cambiar el mundo para siempre, para bien o para mal. Para bien, porque surgen herramientas diseñadas para hacernos la vida más fácil. Una de las más populares es ChatGPT, lanzada a finales de 2022 y que permite a los usuarios crear textos muy completos y bien redactados, además de analizar datos, generar código, dar consejos, etc.

Para mal, porque cada vez juega un papel más importante en los ciberataques. Sí, la IA es útil para mejorar los sistemas de defensa, pero también para perfeccionar las amenazas digitales. Se puede utilizar para automatizar ataques sin necesidad de que haya una persona dándole a botones, además de aprender y evolucionar para evitar la detección de los software antivirus.

El phishing está a la orden del día para robar los datos sensibles de los usuarios, y la inteligencia artificial va a hacer que sea cada vez más difícil de distinguir los correos electrónicos reales de los falsos. Este 2025, nuestra bandeja de entrada va a estar repleta de estas amenazas.

El peligro de los agentes de IA para mejorar los ciberataques

Symantec (ahora, Gen Digital Inc.), la compañía especializada en software y servicios de ciberseguridad, concretamente conocida por su programa antivirus Norton, acaba de compartir en su blog oficial un vídeo que muestra cómo se puede configurar un agente de IA para llevar a cabo un ataque de phishing.

Los agentes tienen más funcionalidad y pueden realizar tareas como interactuar con sitios web. Si bien el uso legítimo de un agente puede ser la automatización de tareas rutinarias, los atacantes podrían aprovecharlos para crear infraestructura y organizar ataques

El equipo de seguridad ya había advertido con anterioridad sobre el problema: "predijimos que con el tiempo se añadirían agentes a las IA de modelos de lenguaje grande (LLM) y que, como resultado, se volverían más potentes, lo que aumentaría el riesgo potencial".

La prueba de concepto muestra a un agente de IA navegando por Internet y LinkedIn para encontrar la dirección de correo electrónico de un objetivo y, luego, buscando consejos sobre sitios web para crear scripts maliciosos. "Nuestro objetivo era ver si un agente podía llevar a cabo un ataque de principio a fin sin nuestra intervención, salvo la indicación inicial", comentó Dick O’Brien de Symantec a Forbes.

El primer intento falló, ya que Opeator (la IA de ChatGPT - OpenAI) no podía continuar por implicar el envío de correos electrónicos no solicitados e información potencialmente confidencial. Esto, sin embargo, tuvo fácil solución: modificar el aviso para indicar que el objetivo había autorizado el envío de correos electrónicos. Acto seguido, la IA comenzó a realizar las tareas asignadas.

Ahora, más que nunca, conviene desconfiar de todos los correos electrónicos que entran a nuestra bandeja de entrada, además de los mensajes de texto y por aplicaciones de mensajería instantánea. El mundo digital es cada vez más peligroso porque la información sensible/personal es altamente valiosa. Una medida de seguridad interesante sería crear distintas direcciones de correo electrónico que no nos relacione directamente, es decir, sin usar nuestro nombre real, para acceder exclusivamente a sitios web importantes, como la banca online o ciertas redes sociales.