Correos electrónicos de phishing: tenemos que estar atentos

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para no ser víctimas de phishing.

Nuestra bandeja de entrada de correo electrónico es como una puerta giratoria. Todos los días, si no cada hora, recibimos correos electrónicos del trabajo, minoristas, amigos y familiares, la escuela, etc. Estamos constantemente enviando y recibiendo. Para complicar las cosas, sin pensarlo dos veces, estamos dando nuestro correo electrónico para que podamos obtener un 15% de descuento en nuestro primer pedido o acceso al eBook que promete cambiar nuestras vidas.

Hacemos esto con tanta frecuencia que perdemos la pista de quién tiene nuestra dirección de correo electrónico, lo que a veces nos hace abrir correos electrónicos que creemos que son legítimos, pero en su lugar son intentos ingeniosamente disfrazados de obtener nuestra información personal. Esos correos electrónicos se llaman correos electrónicos de phishing. Afortunadamente, hay señales que puede tener en cuenta para asegurarse de no ser víctima de un correo electrónico de phishing. 

Información del remitente y linea del asunto:

Lo primero que ve sobre un correo electrónico cuando abre su bandeja de entrada es la información del remitente y la línea de asunto. Hágase las siguientes preguntas: ¿Reconoce alguno? ¿Están mal escritos? ¿Es este un correo electrónico que estabas esperando? ¿La línea de asunto tiene un sentido de urgencia? ¿Es el correo electrónico una respuesta o reenvío a algo que nunca solicitó? Si ve errores ortográficos o texto inusual, tómelo como una bandera roja. Si además de eso, no reconoce al remitente y no lo esperaba, es más seguro marcar el correo electrónico como spam o desecharlo.

El contenido:

Si el correo electrónico no generó ninguna de las banderas rojas mencionadas anteriormente y decidió abrirlo, hay más señales a tener en cuenta en el cuerpo del correo electrónico que podrían indicar un fraude. La mala gramática y los errores ortográficos son un denominador común. Continúe buscando un sentido de urgencia o una solicitud de documentos que no esperaba. Tenga cuidado si se le pide que haga clic, descargue o abra un archivo adjunto o enlace. Si es una oferta promocional y parece demasiado buena para ser verdad, probablemente no lo sea. Si se siente incómodo o inseguro, es mejor eliminarlo o identificarlo como spam. 

Archivos adjuntos e hipervínculos:

No abra el archivo adjunto si no reconoce al remitente, si el tipo de archivo parece extraño, si no reconoce el título del archivo adjunto o no lo esperaba. Para evitar hacer clic en un hipervínculo fraudulento, desplace el mouse (no haga clic, simplemente desplace el mouse) y si la dirección del enlace que se muestra es diferente a la del correo electrónico, no haga clic en ella. Esa es una gran bandera roja. Otra bandera roja es un error ortográfico dentro del hipervínculo. Por ejemplo, la «r» adicional en https://bankofamerrica.com puede perderse fácilmente, haciéndole creer que se dirige al sitio web correcto. ¡Tenga cuidado y verifique dos veces antes de continuar! 

Los ciberdelincuentes son cada vez más sofisticados cuando se trata de correos electrónicos de phishing. Los personalizarán para hacerte sentir que debes saber de dónde viene esto o te inclinarán para abrir archivos adjuntos o hacer clic en hipervínculos. Tenemos que estar atentos, especialmente con la crisis en curso en todo el mundo. Asegúrese de revisar nuestra publicación de blog de estafa COVID-19 para leer más sobre estafas específicas relacionadas con el coronavirus. 

Phishing en mi vida

Quizá ha escuchado o conoce a alguien que tiene como hobbie o que practica el deporte de ir de pesca. La pesca es una actividad que requiere de conocimiento, de técnica particular, de equipos, de herramientas y de una fuerte dosis de paciencia. Primero, es necesario que piense en el tipo de presa que desea pescar, después en dónde va a realizarla (¿será en aguas dulces o saladas, en el río, en la laguna o en el mar? Después, hay que pensar en el tipo caña de anzuelo o de red. Finalmente en el tipo carnada y… ¡Listo, a pescar!  A grandes rasgos, y sin pretender ser un experto en esta actividad, esto es lo que implica el “ir de pesca”.

Quizá se pregunta “¿y el ir de pesca, qué tiene que ver con mi ciberseguridad?”. Pues bien, pescando o phishing en inglés es una técnica que utilizan los ciberdelincuentes para obtener información del usuario y así acceder a determinado recurso.

Esto se logra a través del uso de diferentes herramientas y de técnicas basadas, principalmente, en la persuasión y en el engaño a los usuarios o víctimas. Y no es algo nuevo. Según Phishing.org, la práctica del phishing comenzó alrededor de 1995. Para familiarizarlo con lo anterior, tal vez usted sabe o conoce a alguien que ha recibido algún correo en donde ofrecen premios, regalos, super ofertas, incluso herencias de un pariente lejano que ni siquiera usted sabía que existía (mensajes empáticos). O tal vez, haya recibido algunos correos en donde el fisco le daba aviso sobre algún problema con su situación fiscal; o tal vez algún banco le haya informado que sus tarjetas bancarias fueron bloqueadas; o tal vez haya recibido alguna notificación de demanda o de pérdida de servicios (mensajes coercitivos). Entonces, mi estimado lector, estos son ejemplos clásicos y muy recurrentes del phishing.

¿Cuáles son las principales motivaciones de los cibercriminales?

Las motivaciones de los cibercriminales pueden ser desde obtener información para perpetrar robos y fraudes —con los números de cuentas bancarias, tarjetas de crédito, de débito, departamentales, etc. —, hasta la de generar robos, fraudes y secuestro de información a individuos y a organizaciones de todo tipo y tamaño, accesando a información clasificada como bases de datos, sistemas, servidores entre otras. Estas actividades, al basarse en engaños y accesos no autorizados, son tipificadas como ciberdelitos.

¿Porqué ha proliferado?

El Informe de investigación de violaciones de datos de Verizon (VDBIR, por sus siglas en inglés) clasificó el phishing como la tercera técnica más común utilizada en incidentes y en violaciones confirmadas de ciberseguridad. Además, casi el 80% de los incidentes de seguridad relacionados con espionaje o con instalación de malware se realizaron a través de ataques de phishing.

Un elemento fundamental es la falta de conocimiento y la poca capacitación que se da al personal que utiliza servicios digitales, particularmente, el entrenamiento que se dirige a fomentar una cultura de seguridad digital o de ciberseguridad, pues los criminales que se dedican al phishing se aprovechan de las emociones básicas del humano, la alegría, el miedo, el coraje, la tristeza.

Otro elemento importante es la disponibilidad de recursos para capacitación para “entusiastas” y contra ciberdelincuentes: para conocer el manejo de foros, de grupos, de tutoriales, de plantillas y de herramientas que permiten el aprendizaje para el lanzamiento de campañas de phishing, y sin dejar de lado la constante evolución de las técnicas de persuasión y de engaño.

Por otro lado, tenemos la tecnificación de todo. Todo se está conectando; cada día vemos nuevos servicios digitales que nos facilitan la vida: banca electrónica, transferencias de dinero, compras por internet, videoconferencias, intercambio de información de todo tipo (personal, confidencial, clasificada); y es justamente este botín tan tentador lo que hace que el ciberdelincuente salga a pescar.

En resumen, el phishing es una de las técnicas más utilizado por los ciberdelincuentes para robar información, robar dinero o instalar software malicioso (malware), utilizando como principal arma la persuasión y el engaño a través de herramientas tecnológicas comunes que se encuentran al alcance de todos. El phishing es un elemento que conforma un pilar dentro de la estrategia general del ataque, ya que se centra en el elemento más débil en la cadena de ciberseguridad: el humano.

¿Cuáles son las principales herramientas?

Otras herramientas son: el envío de correos electrónicos falsos, invitaciones a acceder a páginas web falsas, el envío de mensajería electrónica con promociones increíbles, invitaciones y promociones en redes sociales, etc. La herramienta más valiosa es la poca cultura del usuario sobre la protección de información.

¿Y qué puede hacer usted para reducir el riesgo de ser víctima de phishing?

  • Defina e identifique qué tipo de su información puede ser considerada como importante, confidencial, clasificada o delicada.
  • Establezca lineamientos, parámetros o políticas en las que defina qué tipo de información se puede compartir en línea o incluso, con quién puede compartirse. Incluya en este ejercicio la información que compartirá en sus redes sociales.
  • Monitoré y busque en el ciberespacio información sobre usted y sobre su organización.
  • Actualmente, la gran mayoría de las aplicaciones están habilitadas con autenticación de doble factor, utilícelo.
  • Busque entrenamiento y capacitación para aprender sobre esta amenaza, sobre cómo detectarla, sobre su relación con la Ingeniería Social y sobre qué hacer en caso de que logre identificar un posible ataque.
  • Y lo más importante: use su sentido común, sea incrédulo, no abra correos que no espera, pregúntese si tiene sentido abrir correos o páginas web desconocidos, no de click sin antes leer cuidadosamente, no descargue programas, documentos, videos, etc., por más tentadores que parezcan.

La permanencia y evolución del phishing se deben, en gran medida, a la explotación de la confianza de los usuarios y a su falta de entrenamiento en materia de seguridad de la Información. En Capa8 estamos conscientes de esta brecha y estamos comprometidos con la sociedad para fomentar una cultura de seguridad digital que coadyuve a la formación de “ciudadanos digitales” Responsables. Contáctenos, podemos ayudarle.

En nuestro próximo capítulo, hablaremos sobre el software malicioso o malware y sobre cómo los ciberdelincuentes lo mezclan con la ingeniería social, con redes inalámbricas no seguras y con el phishing para perpetrar sus ataques.

Por Eleazar Cruz

Cómo evitar estafas en línea relacionadas con COVID-19

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para no ser presa de estafadores en línea, en esta situación tan complicada que estamos viviendo.

Al igual que con cualquier crisis importante, los delincuentes solo esperan aprovecharse de una mala situación y la enfermedad de Coronavirus 2019 (COVID-19) no es diferente. Cada vez que sucede algo de esta magnitud, saca lo mejor y lo peor de las personas. Hay quienes se mueven para ayudar y hacerlo de cualquier manera pero luego están aquellos que se mueven para aumentar el caos y sacar provecho de los demás. Varias agencias de aplicación de la ley en los EEUU así como el FBI han estado advirtiendo a las personas sobre varias estafas de phishing y están pidiendo precaución al abrir correos electrónicos relacionados con el Coronavirus. Estos correos electrónicos pueden parecer correos electrónicos oficiales que provienen del Centro para el Control y la Prevención de Enfermedades ( CDC) y la Organización Mundial de la Salud (OMS).

Junto con las estafas de correo electrónico de phishing, hay informes de muchos sitios nuevos y maliciosos que se hacen pasar por legítimos para robar información personal o propagar malware. De hecho, según Check Point Threat Intelligence, se han registrado más de 4.000 dominios relacionados con el coronavirus en todo el mundo. De estos sitios, el 3% resultó ser malicioso y un 5% adicional es sospechoso. Los dominios relacionados con el coronavirus tienen un 50% más de probabilidades de ser maliciosos que otros dominios registrados en el mismo período de tiempo.

Además de los sitios web maliciosos y los correos electrónicos de phishing, también hay informes de estafas de caridad y tratamiento falso de Coronavirus. Con esto en mente, queremos asegurarnos de que tengas la información y los consejos para mantenerte seguro en línea durante este tiempo:

  • Consulta fuentes oficiales para actualizaciones sobre el Coronavirus. Le recomendamos que visite el Centro oficial para el Control y la Prevención de Enfermedades ( CDC ) y la Organización Mundial de la Salud ( OMS ) para obtener información actualizada sobre el brote. Tenga cuidado con los sitios web y los mapas de la propagación de la enfermedad cuando busque o busque en Google la pandemia.
  • Desafortunadamente, la enfermedad de Coronavirus 2019 (COVID-19) no tiene vacuna ni cura. Debemos estar particularmente atentos de correos electrónicos de esta naturaleza e informar cualquier correo electrónico falso o phishing a estas organizaciones. Puedes informar estafas a la OMS aquí y a la FTC aquí.
  • Investiga cualquier organización benéfica antes de donar dinero o proporcionar información personal. Ya hay informes de organizaciones benéficas falsas que afirman que necesitan dinero para encontrar una cura o ayudar a las víctimas. Lea los consejos de donación aquí .
  • Particularmente en este momento, ten cuidado con los falsos intentos de phishing por correo electrónico de los CDC y la OMS. No hagas clic en archivos adjuntos o hipervínculos de un correo electrónico que no esperabas o donde no puedes verificar al remitente. Mala gramática, hipervínculos que no coinciden con la URL real, errores ortográficos, archivos adjuntos extraños, amenazas, ningún logotipo o logotipo incorrecto, o un sentido extremo de urgencia son signos de phishing.

Recuerda que los delincuentes intentarán atraer tus emociones durante esta pandemia, especialmente el miedo y el pánico. Disminuye la velocidad al tomar decisiones y no te sientas presionado a hacer nada con prisa, ya sea visitar un sitio web, hacer clic en un enlace, abrir un archivo adjunto, donar a una organización benéfica o tratar de navegar a través de tratamientos no aprobados.

Si actualmente estás trabajando en forma remota, lee nuestros consejos de seguridad cibernética sobre cómo configurar una estación de trabajo cibersegura para las próximas dos semanas.

SOS ingeniería social

Quizá en alguna discoteca (si eres generación X) o en algún antro (si eres más joven) entregaste información personal mientras interactuabas con otras personas. Detente un momento y busca en tus archivos mentales, seguramente encontrarás varios recuerdos. Tal vez lo hiciste con esa persona que te gustaba: le diste tu nombre, le dijiste si estudiabas o trabajabas, en dónde, tus horarios, tu teléfono o WhatsApp, tu Face, y ya más entrados en confianza, hasta tus gustos, tus creencias, tus afinidades, responsabilidades y tal vez hasta alguno que otro miedo. Esto es muy normal en una interacción humana, después de todo, somos una especie social. Ahora bien, imagina este mismo ejemplo, pero con una persona que a través del arte de la manipulación busca obtener esta información con otros fines. Puede que lo haga personalmente, o tal vez utilice alguna de tus redes sociales, lo haga vía telefónica, por correo o a través de alguna aplicación. A esta práctica se le conoce como Ingeniería Social.

Y en palabras simples, ¿qué es la ingeniería social? Según Kaspersky, es “…la ciencia y arte de hackear a seres humanos…”, “…es un conjunto de técnicas empleadas por los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales…”.
Con esta definición en mente y tomando en cuenta las motivaciones de los hackers, podemos concluir que esta práctica tiene como objetivo final ejecutar algún ataque a personas o a organizaciones.

¿Cómo lo hacen?
Parte fundamental es la interacción humana. Los hackers buscan el contacto con las personas para granjearse cierto nivel de credibilidad siendo empáticos, asertivos y amigables. De esta forma logran ganarse la confianza de sus víctimas. O, por el contrario, puede que se muestren coercitivos al plantear un escenario de gravedad, urgencia o algún problema que dará pauta a discursos de manipulación con los que el criminal solicitará a su víctima información útil para perpetrar el ataque. Seguramente has escuchado acerca de las famosas estafas telefónicas o por correo electrónico en donde los criminales se hacen pasar, entre otras cosas, por organizaciones como bancos, agencias o entidades gubernamentales para solicitar datos personales y confidenciales. También están aquellas en las que te piden entrar a alguna página web o descargar archivos y/o aplicaciones desde tu correo o smartphone. Algunas de las técnicas más utilizadas son el phishing y, más recientemente, el vishing.

Todo en este mundo tecnificado y conectado está en constante crecimiento, por lo que día a día observamos nuevos servicios, nuevos productos y nuevas aplicaciones que facilitan la interacción con otras personas y con nuestro trabajo. Asimismo, los hackers también crean día a día nuevas formas, técnicas y herramientas para desarrollar sus actividades ilícitas. Desde hurgar en los cestos de basura de sus posibles víctimas (Dumpster Diving) e infiltrarse físicamente al medio ambiente para ver, escuchar y obtener información confidencial (como usuarios y contraseñas de sistemas y aplicaciones), hasta usar técnicas y herramientas más sofisticadas como software malicioso o malware (acrónimo del inglés malicious software). Estos son programas desarrollados para infiltrarse en los sistemas de las victimas con el objetivo de dañar, robar o secuestrar información.

En nuestros próximos capítulos, hablaremos de algunas de las técnicas y herramientas más utilizadas por los hackers: qué son, cómo funcionan, cuáles son las más famosas y algunos consejos de prevención.

Para terminar, somos una especie social. Disfrutamos compartir momentos con otras personas. Experimentamos sorpresa, miedo, alegría, tristeza e ira. Debemos recordar que son justamente estas emociones las que son explotadas a través de la ingeniería social, por lo que nuestras recomendaciones no son el aislamiento y el miedo, sino SER conscientes de estos riesgos y amenazas latentes y actuar en consecuencia. Sé incrédulo, cuestiona, no confíes en desconocidos, pregúntate si tiene sentido esa llamada telefónica, revisa ese correo o ese mensaje antes de dar clic. Infórmate, pregunta, comparte, pide apoyo, recuerda que “más del 99 por ciento de los ciberataques dirigidos dependen de la interacción humana para tener éxito”, pues el eslabón más débil en la cadena de seguridad somos nosotros, los humanos.

Eleazar Cruz
Consultor en Ciberseguridad Estratégica

Referencias:

¡Ten cuidado con este link de WhatsApp!

WhatsApp se ha convertido sin duda, en uno de los medios de comunicación más utilizados tanto en el ámbito personal como en el laboral, y es por ello que ciberatacantes saben que es un medio propicio para acceder a información sensible de sus víctimas, y además propagar su ataque a una velocidad increíble. Al infiltrarse a través de WhatsApp, un ciberatacante puede obtener conversaciones y fotografías comprometedoras, datos bancarios, información laboral sensible, y puede incluso espiar a los usuarios a través del micrófono. Logra un control absoluto.

La manera en que la mayoría de estos estos ciberataques funcionan, es a través de un mensaje con vínculos a sitios web desconocidos. Pues bien, ahora se está presentado una modalidad donde se envía al usuario un mensaje de texto con el título «Saludos de WhatsApp«, el cual contiene un vínculo y que solicita no compartir con nadie.

¡No hagas clic! Si recibes el mensaje ignóralo y elimínalo para no poner en riesgo tu privacidad.

La recomendación es activar la verificación en dos pasos de la aplicación, ya que de esa forma cualquier intento por verificar el número requerirá de la contraseña de seis dígitos que únicamente el responsable de la cuenta conoce.

Brasil y México, países más afectados por malware en América Latina

La novena Cumbre Latinoamericana de Ciberseguridad de Kaspersky destacó que Brasil y México son los países más afectados por malware en la región, y que además se mantienen en el Top 20 mundial. En el evento llevado a cabo en Iguazú, Argentina, se señaló también que los dispositivos móviles en América Latina reciben 6 intentos de ataque de malware por minuto, y que en la clasificación mundial de ciberataques móviles, Brasil es el que más ataques registra en estas latitudes y se ubica en sexto lugar a nivel mundial, seguido por México a nivel regional y como noveno a nivel global.

Según los expertos de la empresa de ciberseguridad, esta estadística es consecuencia en gran medida por la descarga de software no licenciado, llamado comúnmente como «pirata». “La piratería ayuda al criminal porque los sistemas piratas son vulnerables. Es una cadena de hechos: primero, el usuario no quiere pagar, instala un sistema operativo pirata e instala un crack; segundo, el usuario no actualiza el programa porque identificaría que se trata de un software pirata; tercero, el software es vulnerable y cuarto, el usuario es atacado”, señaló Fabio Assolini, analista senior de Seguridad de Kaspersky.

Otra gran amenaza en la región es el phishing, “El phishing ofrece la credencial necesaria que dará al atacante la posibilidad de desarrollar las siguientes etapas de ataques más avanzados”. México se ubica en el lugar 13 en este indicador.

Precaución con correos electrónicos que soliciten confirmación de cancelación de suscripción

El portal BleepingComputer ha reportado que se ha detectado una campaña de correo electrónico fraudulento que pretende ser una solicitud de confirmación de cancelación de suscripción. Nunca se debe hacer clic o responder a estos correos electrónicos, ya que están diseñados para recopilar direcciones de correo electrónico que funcionen o para realizar algún otro tipo de estafa. Si bien parece ser que el objetivo es el público anglosajón, se debe tener precaución porque no estamos exentos de recibir este tipo de mensajes.

El portal indica que durante la semana pasada se identificó un flujo constante de correos electrónicos con títulos de asuntos como «Confirme su solicitud de cancelación de suscripción» o «Cliente # 980920318 Para_DETENER_Recibir estos correos electrónicos de nosotros Pulse respuesta y háganos saber«. Si bien esta es una estafa de correo electrónico de larga duración, esta es la primera vez que este tipo de mensaje se detecta.

A diferencia de las notificaciones normales de cancelación de suscripción, estos correos electrónicos fraudulentos no contienen ninguna indicación de lo que está cancelando e incluyen una variedad de «plantillas» que les permiten tener una imagen diferente, por ejemplo:

¿Qué debo hacer?

Algunas de las razones por las que podríamos recibir un correo electrónico de esta naturaleza es que «spammers» -personas que envían correo electrónico indiscriminado y de manera masiva- crean listas de direcciones de correo electrónico activas que pueden usarse para estafas de correo electrónico más lucrativas, a través de phishing.

Al responder estos correos, estaríamos indicando a posibles estafadores que tienen una «cuenta viva» y lo agregan a una lista de cuentas de correo electrónico activas que pueden usarse para futuras estafas. Estas listas de correo electrónico pueden venderse a otros estafadores o usarse para sus propios fines.

Sabiendo esto, nunca responda los correos electrónicos de spammers y simplemente elimínelos. Si responde, terminará recibiendo aún más spam en su bandeja de entrada.

Información personal de estudiantes robada en violación de datos de universidad

Ciberdelincuentes han robado datos personales de estudiantes de la Universidad de Lancaster en Inglaterra, luego de obtener acceso a bases de datos que contenían información personal. Entre los datos a los cuales tuvieron acceso los ciberatacantes se encuentran: nombres, direcciones, números de teléfono y direcciones de correo electrónico. La universidad tiene más de 13,000 estudiantes, pero actualmente no se cuenta con datos sobre la cantidad de personas afectadas.

La universidad ha descrito el incidente como «un ataque de phishing sofisticado y malicioso que ha provocado violaciones de datos de estudiantes y solicitantes«.

Lancaster se dio cuenta de la violación el viernes 19 de julio y creó un equipo de respuesta a incidentes para investigar, así mismo generó un informe «inmediato» de la violación emitido a la Oficina del Comisionado de Información, tal como lo exige la Ley General de Protección de Datos (GDPR) en Europa. 

Es importante reiterar que las universidades son un objetivo habitual de los ataques de phishing , ya que los ciberdelincuentes intentan engañar a los estudiantes y al personal para que compartan sus datos personales, credenciales de inicio de sesión u otra información valiosa.

Cuidado con este malware «disfrazado» de juego

El juego “Scary Granny ZOMBYE Mod: The Horror Game 2019” para Android está robando datos de Google y Facebook de sus usuarios. La aplicación maliciosa intenta desviar datos y dinero de las víctimas hacia ciberdelincuentes. Se recomienda eliminar esta aplicación inmediatamente de tus dispositivos.

Este juego pasó desapercibido para el equipo de revisión de Google Play. Google utiliza un sistema de detección de malware para verificar nuevas aplicaciones que se cargarán a su Play Store, sin embargo esta aplicación evadió la verificación ya que simulaba ser un juego totalmente funcional, sin embargo después de un período de dos días de instalarse, el malware es activado.

La aplicación, aparentemente basada en otro exitoso juego para Android llamado Granny, lanza un ataque de phishing contra el dispositivo de destino, mostrando una notificación que solicita al usuario que actualice sus servicios de seguridad de Google. Cuando el usuario está de acuerdo, presenta una página de inicio de sesión falsa para robar sus credenciales.

Falsa notificación y phishing (Fuente: https://www.bleepingcomputer.com/)

El código de phishing utiliza un navegador integrado en la aplicación para acceder a la cuenta del usuario y descargar sus correos electrónicos y números de teléfono de recuperación, además de códigos de verificación, cookies y tokens (que podrían brindar a los atacantes acceso a aplicaciones de terceros).

Ciberataques con inteligencia artificial en Twitter

Twitter está siendo utilizado como una herramienta para realizar ciberataques. Mediante el uso de modelos de inteligencia artificial, cibercriminales recaban información de sus objetivos en la plataforma social y con base en los resultados envían mensajes de phishing a dichos usuarios.

Recordemos que los ataques de phishing son aquellos en los que un cibercriminal envía un mensaje engañoso a su objetivo, ya sea a través de correo electrónico, mensajería instantánea o redes sociales, para que éste introduzca información personal o para que al hacer clic descargue algún tipo de software malicioso (malware).

En una entrevista al diario El Economista, Ladi Adefala, estratega senior de Seguridad de Fortinet, declaró que los ataques lanzados a través de Twitter mediante Inteligencia Artificial son exitosos en promedio entre 40 y 60% de las ocasiones

De acuerdo con Adefala, los cibercriminales se están también aprovechando de otro tipo de dispositivos que emplean inteligencia artificial con el fin de recabar información de sus víctimas, como es el caso de los asistentes virtuales. El especialista mostró un ejemplo de lo que se conoce como skill squatting, que aprovecha las aplicaciones de reconocimiento del lenguaje de Amazon Alexa para extraer información sensible de sus usuarios.

Adefala explicó que un ciberdelincuente puede crear una skill (aplicación de Amazon Alexa) que con el fin de engañar a los usuarios, simule las mismas funciones que las de una marca reconocida de una institución bancaria o financiera. Si el usuario descarga dicha skill en lugar de la oficial de la institución, corre el riesgo de que sus datos bancarios sean robados y utilizados para cometer fraudes.