Una nueva generación de Kits de Phishing ha comenzado a circular en los foros de la Dark Web, y traen consigo una característica que preocupa a los expertos: la integración nativa de Inteligencia Artificial Generativa.
Hasta hace poco, detectar un correo fraudulento era relativamente fácil: redacción extraña, errores gramaticales o traducciones automáticas de mala calidad. Sin embargo, investigadores de seguridad advierten que estos nuevos kits automatizados utilizan Modelos de Lenguaje (LLMs) para generar correos electrónicos persuasivos, gramaticalmente perfectos y adaptados al contexto de la víctima en segundos.
¿Qué ofrecen estos nuevos kits?
Por una suscripción mensual (modelo Phishing-as-a-Service), los atacantes obtienen:
- Redacción Polimórfica: La IA genera variaciones infinitas del mismo mensaje. Esto significa que los filtros de spam tradicionales, que buscan palabras clave o frases repetidas, no logran detectar la campaña porque cada correo es único.
- Traducción Nativa: El atacante puede estar en Rusia o Corea del Norte, pero la IA redactará el correo en un español, inglés o francés perfecto, utilizando modismos locales para aumentar la credibilidad.
- Chatbots Maliciosos: Algunos kits incluyen chatbots falsos de “Soporte Técnico” impulsados por IA que interactúan con la víctima en tiempo real para convencerla de entregar sus códigos de autenticación (2FA).
La muerte de la “Detección Visual”
Durante años, hemos entrenado a los usuarios diciéndoles: “Fíjate en la ortografía” o “Mira si el tono es raro”. Con estos kits de IA, ese consejo ya no sirve. Los correos de phishing ahora están mejor escritos que los correos corporativos reales. Debemos cambiar el enfoque de la concienciación: dejar de buscar errores en el texto y empezar a verificar la fuente técnica (el remitente real, el dominio y los protocolos de seguridad).
La batalla de IA contra IA
La única forma efectiva de combatir una IA ofensiva es con una IA defensiva. Las empresas deben adoptar soluciones de seguridad de correo electrónico que no se basen en firmas estáticas, sino en análisis de comportamiento y procesamiento de lenguaje natural (NLP) para detectar intenciones maliciosas (ej. urgencia, solicitud de dinero) incluso si el texto es perfecto.
¿Qué debe hacer el usuario?
Ante la duda, desconfianza cero. Si recibes un correo bien escrito de tu banco o de Microsoft pidiendo acción urgente:
- No hagas clic en el enlace.
- No llames al número que aparece en el correo.
- Ve manualmente a la página web oficial o llama al número que tienes en tu tarjeta bancaria.
