IA generativa y estafas a gran escala

En los últimos años, la tecnología de la Inteligencia Artificial (IA) se ha vuelto más popular y sofisticada, por lo que cada vez es más difícil detectar este tipo de manipulación audiovisual.

Por ponerte un ejemplo, los estafadores pueden utilizar la IA generativa para construir sitios web de estafas para cazar pardillos e incautos que creen estar en una página web auténtica. Para ello empiezan con una plantilla sencilla de comercio electrónico (por ejemplo, una página que se parezca a Amazon) y luego personalizan el sitio para que la tienda fraudulenta se parezca todo lo posible a la tienda auténtica de Amazon. Para ello, crean secciones en la tienda, comentarios de falsos compradores y los productos más comprados a precio de ganga utilizando ingeniería de instrucciones. También añaden detalles más refinados como un inicio de sesión falso en Facebook y una página de pago falsa para robar las credenciales de inicio de sesión y los datos de la tarjeta de crédito de los usuarios mediante ingeniería de instrucciones. El resultado es un sitio web de estafa de primer nivel, mucho más fácil de construir con IA generativa que creándolo desde cero y, sobre todo, sin necesidad de muchos conocimientos de programación de páginas web.

La fusión de tecnologías de IA lleva las estafas a un nuevo nivel. Los ciberestafadores generan con relativa facilidad campañas de fraude completas que combinan código, texto, imágenes y audio para construir cientos de sitios web únicos y sus correspondientes anuncios en las redes sociales. El resultado es una potente mezcla de técnicas que se refuerzan mutuamente en sus mensajes, dificultando que los individuos identifiquen y eviten estas estafas.

Lo peor de todo es que estamos ante un campo inmenso por explotar. La IA abre todo tipo de nuevas posibilidades a los cibercriminales. El avance de la Inteligencia Artificial (IA) es cada vez más asombroso, por lo que sus aplicaciones en nuestro entorno son cada día más evidentes y, en algunos casos, también peligrosas, lo que ha llevado a instituciones, como la Unión Europea, a elaborar la primera ley que regula su uso.

En YouTube se han detectado videos deepfake del CEO de Ripple, Brad Garlinghouse, pidiendo a los poseedores de XRP que envíen sus monedas a una dirección específica, prometiendo devolver el doble, una estrategia común empleada por estafadores.

En el video, un avatar generado por inteligencia artificial, que se parece muchísimo a Brad Garlinghouse en persona, invita a los espectadores a participar en un evento de XRP donde deben enviar tokens a una "dirección designada". A cambio, el personaje del video promete devolver "el doble" como parte del falso sorteo. Los incautos crédulos que ven y creen en esta espectacular oferta, mandan sus XRP a la dirección de la billetera indicada en el video perdiendo de una tacada todos sus XRP.

Estas estafas son cada vez más frecuentes y habituales por lo que el 14 de julio, el director de tecnología de Ripple, David Schwartz, advirtió a los inversores sobre el aumento de estafas de XRP después de la decisión judicial de julio a favor de la empresa en su batalla con la Comisión de Valores y Bolsa (SEC). Schwartz dijo que no hay airdrops, regalos ni ofertas especiales asociadas con la decisión.

Redactores y periodistas de varios periódicos y cadenas de televisión y radio informan periódicamente sobre actividades fraudulentas relacionados con sus medios de comunicación. Por ejemplo, un avispado estafador se hacía pasar por un periodista de Forbes. Durante una entrevista con coleccionistas de Bored Ape Yacht Club (BAYC), un atacante intentó apropiarse de sus tokens no fungibles (NFT). Otro delincuente cibernético comprometió a usuarios de Friend.tech, siguiendo un patrón similar, ya que adoptó la identidad de un periodista del sector y persuadió a las víctimas para participar en entrevistas. Después de la conversación, el estafador solicitaba a las víctimas que completaran un formulario, el cual, en realidad, incluía un enlace de phishing.

Un deepfake consiste en una maniobra que emplea inteligencia artificial para robar identidades de personajes conocidos, haciéndose pasar por ellos, para conseguir algún fin oscuro que suele acabar en estafa.

La IA puede crear una recreación de algún artista o actor famoso que, por ejemplo, te pida 10 euros por permitirte charlar media hora por teléfono con dicho famoso. Imagina que eres un fan acérrimo de Julia Roberts, quizás estás enamorado secretamente de ella y por sólo 10 euros puedes charlar media hora con ella por teléfono, declararla tu amor y confesarla que eres su fan número uno... Caes en la estafa como un pardillo, envías los 10 euros y al rato te llega un mensaje con su número de teléfono para que la llames y hables con ella media hora. Llamas y compruebas que es su voz, tal vez incluso puedas hacer una videollamada donde la veas a través de la cámara de tu móvil mientras hablas con ella por teléfono. Todo es una estafa, hablas con una Julia Roberts virtual que no existe. Un bot mantiene una conversación contigo como si fuera ella la que habla, se mueve como ella, habla con una voz muy similar a la suya que te sonríe y habla contigo durante media hora permitiéndote soñar. Lo que descubres después de la llamada, cuando te llega la factura, no es sólo que hayas perdido esos 10 euros que enviaste, sino que además has llamado a un número de tarificación especial que te ha estado cobrando 30 euros por minuto mientras creías hablar con Julia Roberts.

Por desgracia esto es un hecho innegable, la expansión de la inteligencia artificial (IA) ha dado lugar a la proliferación de distintas vulnerabilidades aprovechadas por los ciberdelincuentes para operar maniobras de todo tipo como pueden ser los deepfakes, una técnica que consiste en videos o contenido digital en los que se utiliza IA de aprendizaje profundo para copiar la apariencia de una persona en un video supuestamente grabado.

Esta tecnología, que combina los términos "deep learning" (aprendizaje profundo) y "fake" (falso), ha avanzado rápidamente en los últimos años, con cada vez más casos de noticias falsas sobre las personalidades más importantes del planeta.

Esta perturbadora técnica, respaldada por algoritmos conocidos como Generative Adversarial Networks o Redes Generativas Antagónicas, permite la creación de imágenes falsas, cómo fotografías, vídeos o audios, que resultan increíblemente realistas, con el fin de cometer estafas virtuales o engaños en línea.

Los piratas informáticos emplean esta técnica para cometer fraudes, chantajes, manipulación o afectar la reputación de un individuo o empresas y fomentar la desinformación a través de "fake news" o noticias falsas.

Entre otros deepfakes famosos podemos citar al youtuber MrBeast, cuyo nombre real es Jimmy Donaldson y tiene casi 200 millones de seguidores, o el actor ganador de dos óscar, Tom Hanks. Ambos tienen algo en común, los dos han sido blanco de estafas difundidas en las redes sociales que usan una inteligencia artificial (IA) generativa conocida como "deepfake".

En los "deepfakes" se puede manipular el rostro de una persona para que actúe y diga lo que el creador quiera. En el último año, esta tecnología se ha vuelto más popular y sofisticada, por lo que cada vez es más difícil detectar este tipo de manipulación audiovisual.

La Inteligencia Artificial permite crear nuevos malware, para engañar a usuarios, generar campañas de desinformación o crear videollamadas falsas. No intentes utilizar ChatGPT porque OpenAI establece unos límites que impiden realizar determinadas acciones, pero existen otras IA en la Deep web o Dark Web como pueden ser FraudGPT y WormGPT, dos modelos de IA disponibles creados para satisfacer las necesidades de los cibercriminales. FraudGPT y WormGPT son dos modelos de IA de que permiten crear scripts y correos maliciosos. Los ciberdelincuentes tienen acceso a estas herramientas desde 200 dólares al mes. Por decirlo de alguna manera, vienen a ser como los gemelos malignos de ChatGPT.

Atrás quedaron los días en los que se aconsejaba a los usuarios buscar errores gramaticales, de contexto y de sintaxis obvios para detectar correos maliciosos. Los ciberdelincuentes ya no cometen faltas de ortografía. Herramientas como FraudGPT permiten a los ciberdelincuentes crear correos maliciosos en cualquier idioma, con un lenguaje prácticamente perfecto. FraudGPT es un importante recordatorio de cómo los ciberdelincuentes van cambiando sus técnicas para lograr el máximo impacto en sus acciones.

Desde hace varios meses, esta tecnología se está empleando para una nueva estafa telefónica en la que se imita la voz de familiares para pedir dinero y robar a diferentes víctimas. El timo se está convirtiendo en una práctica habitual entre los estafadores.

Mediante el uso de Eleven Labs, una empresa de software estadounidense que desarrolla una síntesis de voz con IA, la estafa se realiza a través de una llamada telefónica o videollamada a un ser querido o un amigo pidiendo una ayuda económica en un contexto de emergencia. Los estafadores utilizan la tecnología para conseguir imitar las voces de familiares o conocidos de las víctimas, lo que hace que consigan el dinero de forma muy rápida por lo realista que llega a ser.

Este tipo de IA es capaz de analizar la voz de una persona e imitar su timbre y tono de voz en cuestión de segundos con tan solo una pequeña muestra de audio, se trata de una tecnología muy barata. Su servicio cuesta entre 5 euros y 250 euros al mes e incluso, en algunos casos, puede utilizarse de forma gratuita. Es debido a esto que se está convirtiendo en una forma de estafar muy fácil, sencilla y rápida que debe ponernos en alarma a la hora de atender una llamada.

La apariencia de veracidad dificulta la detección. Los fraudes con Inteligencia Artificial no solo son más sofisticados, sino que el uso de esta tecnología disruptiva incrementa la apariencia de veracidad de los ataques.

Si los delincuentes recurren a la IA y realizan, por ejemplo, deepfakes, ataques clásicos como las campañas de phishing o vishing resultan más difíciles de detectar.

Los ataques son cada vez más sofisticados. Si a la ecuación ingeniería social más malware le añadimos Inteligencia Artificial, resulta evidente que la complejidad de un ataque aumenta, así como las probabilidades de tener éxito.

La mezcla de Ingeniería social e Inteligencia Artificial supone un combo explosivo. El phishing y otras técnicas de ingeniería social como el, smishing, el vishing o el fraude del CEO han sido protagonistas del panorama de amenazas en los últimos años. Sobre todo, gracias al uso combinado de técnicas de ingeniería social y malware para engañar a personas y empresas y conseguir sustraerles cuantiosas cantidades de dinero.

De hecho, en muchos ciberataques, está presente la ingeniería social a la hora de buscar y encontrar un vector de entrada. Por ejemplo, enviar un email falso a un profesional y conseguir que haga clic en una URL o descargue un archivo infectado con un malware. Los ataques permiten responder con eficacia a las víctimas gracias a que las IA generativas ya pueden mantener conversaciones sin que el estafado se percate que no está hablando con una persona real.

Los ciberestafadores pueden poner en marcha campañas de ingeniería social en mucho menos tiempo, invirtiendo una cantidad de recursos inferior y consiguiendo que sean más complejas y difíciles de detectar, puesto que, con las IA generativas que ya están en el mercado, no solo se pueden escribir textos, clonar voces o generar imágenes, sino también programar webs. Además, las IA generativas abren la posibilidad de que se multiplique el número de atacantes potenciales, porque al permitir realizar numerosas acciones, pueden ser empleadas por delincuentes sin los recursos y los conocimientos necesarios.

Hoy en día es muy sencillo suplantar identidades a partir del caudal de información en internet. De una forma u otra, todos estamos fichados en internet. No es raro que nuestros correos electrónicos estén listados en algún sitio. Tampoco es raro que nuestro nombre y DNI aparezcan en internet si nos hemos presentado a alguna oposición y salen publicados los resultados en alguna página de internet. También se puede saber en qué empresa trabajamos pues nuestro nombre aparecerá en algún lugar de la web de la compañía. La IA permite buscar todos esos datos en internet, recopilarlos y crear nuestro historial enlazando información.

La mezcla de Inteligencia Artificial e ingeniería social se alimenta de toda esa información que está disponible hoy en día en internet sobre las empresas y las personas. Si lo piensas fríamente, no es raro leer continuamente noticias sobre bases de datos de usuarios que se han filtrado o has sido hackeadas y son vendidas en la Dark Web por precios muy bajos en relación al alto número de datos que contienen dichas bases de datos.

Los grandes modelos de lenguaje (LLM, por sus siglas en inglés), que son el corazón de las IA generativas, necesitan datos para entrenarse y producir videos, fotos, audios o textos cada vez más realistas. Los delincuentes que desean realizar fraudes con Inteligencia Artificial parten con una gran ventaja: nuestra vida está en internet. Webs profesionales o educativas, blogs personales, y, por supuesto, las redes sociales, ofrecen una radiografía precisa de quiénes somos y de cómo somos, por dentro y por fuera.

Gracias a aplicaciones como TikTok, Instagram o Facebook los actores maliciosos pueden obtener el material suficiente para clonar nuestro rostro y nuestra voz, incluidos los gestos que realizamos o las inflexiones en nuestra forma de expresarnos. De hecho, existen, ya, IA generativas capaces de producir deepfakes difíciles de detectar.

El uso de los sistemas de IA para suplantar la identidad de las personas puede poner en tela de juicio los sistemas de autenticación facial o por voz, puesto que, si los delincuentes pueden clonar nuestro rostro o nuestra voz, podrían emplearlo para suplantar nuestra identidad y acceder a datos sensibles, internarse en nuestras cuentas bancarias o, incluso, desplegar malware en los sistemas corporativos.

También existen los fraudes de identidad sintética. Son una clase de estafa que combina información real sobre una persona con datos falsos y que se puede generar gracias a los sistemas de IA. De tal forma que, a partir de un dato real, por ejemplo, un número de DNI o de la Seguridad Social de una persona, se crea una identidad completamente falsa y distinta a la de la persona que detenta dicho número. Habida cuenta de las brechas de datos que se han producido en los últimos años, hoy en día es posible adquirir número de identificación personal en la Dark Web, sin necesidad de realizar un ataque previo para conseguirlo.

Los estafadores pueden ahora abrir cuentas bancarias y obtener préstamos y créditos construyendo un historial crediticio sólido a la identidad falsa que han creado. Luego solicitan préstamos y créditos que supuestamente devolverán de forma eficaz tras garantizar su solvencia. Una vez que la falsa solvencia esté demostrada, agotarán todo el saldo de las tarjetas de crédito que hayan solicitado, así como el dinero obtenido vía préstamos y desaparecerán sin dejar rastro y, además, consiguen evitar ser detectados por las entidades financieras, pero también por las personas que son legítimas propietarias de los documentos empleados para construir la identidad falsa de forma que tarde más tiempo en descubrirse la estafa y sea más complicado atrapar al estafador por haberse perdido la pista con el paso del tiempo.

Pretendo con este artículo avisar a los internautas de los peligros que corren. Recomiendo desconfiar de todo lo que parezca demasiado bonito como para ser cierto. Nadie regala nada, nadie te va a dar dinero por las buenas, no hay buenos corazones benefactores de la humanidad. Grábate a fuego una frase en la cabeza: Si parece demasiado bueno, seguramente sea una estafa.

Os invito a dejar en los comentarios del blog cualquier cosa relacionada con las estafas relacionadas con la IA. ¿También te han estafado?, ¿cómo detectaste una estafa?, etc. los comentarios sin duda ayudarán al resto de los lectores y nos harán reflexionar sobre este tipo de estafas para ayudarnos a estar más concienciados y no caer fácilmente en ellas. Gracias por comentar y compartir.