En los últimos meses, los ciberdelincuentes están utilizando plataformas de inteligencia artificial (IA) para crear ataques de phishing más sofisticados y difíciles de detectar. La IA permite a los atacantes personalizar sus correos electrónicos y sitios web de manera más convincente, analizando perfiles públicos de sus víctimas y adaptando el vocabulario, el tono y las referencias para que los mensajes parezcan genuinos. Esta personalización avanzada aumenta considerablemente las posibilidades de que un usuario caiga en la trampa.
Técnicas que hacen estos ataques más peligrosos
Los atacantes han perfeccionado sus métodos para evadir la detección y engañar a las víctimas. Algunas de las técnicas más usadas incluyen:
CAPTCHAS falsos: Los correos de phishing redirigen a páginas con un CAPTCHA falso que, al ser resuelto, envía al usuario a un sitio malicioso sin que se dé cuenta.
Dominios en plataformas confiables: Los delincuentes alojan sitios de phishing en plataformas de confianza como Netlify o Vercel. Esto hace que los usuarios bajen la guardia porque confían en el dominio base.
Certificados SSL válidos: Al usar certificados SSL válidos, los sitios falsos aparecen con el candado de seguridad en la URL, lo que los hace parecer legítimos y seguros.
Carga de contenido dinámica: Los correos evitan usar palabras clave maliciosas en el texto. En su lugar, utilizan redirecciones y scripts que se activan bajo ciertas condiciones para evadir los filtros de seguridad.
Recomendaciones para protegerte del phishing con IA
- Usa pasarelas de correo con análisis de comportamiento: Implementa soluciones de seguridad que no solo dependan de firmas estáticas, sino que analicen el comportamiento del correo, las redirecciones y los enlaces para detectar amenazas.
- Educa a los usuarios: Capacita al personal para que sepa identificar dominios sospechosos, incluso si parecen legítimos. Enséñales a revisar la URL con cuidado y a evitar hacer clic en enlaces que utilicen plataformas de hosting genéricas.
- Refuerza la capacitación: Ofrece formación sobre las técnicas de phishing personalizadas. Recuérdales que no deben confiar en un mensaje solo porque parezca genuino o contenga información que coincide con su vida personal o profesional.
