Incidentes Asociados
- El consultor de soluciones de Microsoft, Sam Mitrovic, publicó recientemente una entrada en su blog en la que destaca cómo casi perdió el acceso a su cuenta de Gmail a manos de piratas informáticos que utilizaron una estafa de inteligencia artificial superrealista.
- Los piratas informáticos pretendieron ser parte del equipo de soporte de Google (con un número de teléfono y una dirección de correo electrónico discretamente disfrazados) para engañar al consultor para que compartiera detalles intrincados y confidenciales sobre su cuenta de Gmail.
- Si bien el número de teléfono figuraba en la página de negocios de Google, el consultor descubrió que la dirección de correo electrónico utilizada para comunicarse con él estaba bajo un dominio que no era de Google.
En los últimos años, el surgimiento de la IA generativa y su amplia adopción en todos los sectores, incluidos la medicina, la informática y la educación, ha promovido la eficacia y la eficiencia. Sin embargo, los piratas informáticos también parecen estar subiéndose al tren de la IA y utilizando las sofisticadas capacidades de la tecnología para atraer a usuarios desprevenidos hacia sus ataques bien diseñados.
En una publicación de blog del consultor de soluciones de Microsoft Sam Mitrovic, los piratas informáticos están aprovechando un ataque sofisticado, que el consultor llama una "llamada de estafa de IA súper realista", para engañar a los usuarios de Gmail. Tal vez lo más interesante es que el consultor afirma que la estratagema es "súper realista" y que incluso los usuarios más experimentados podrían ser víctimas de la estratagema sin sospecharlo.
Más de 2500 millones de personas que utilizan el servicio Gmail de Google podrían verse en una situación comprometida, lo que podría permitir que actores maliciosos accedan a información confidencial que podrían utilizar para causar daño o vender en la red oscura.
Mitrovic descubrió la sofisticada estrategia cuando apareció una notificación en su dispositivo, solicitándole que aprobara un intento de recuperación de la cuenta de Gmail. Los piratas informáticos son conocidos por utilizar este viejo truco para atraer a usuarios desprevenidos a sus trampas. Afortunadamente, Mitrovic rechazó la solicitud y siguió con sus asuntos. Más tarde, recibió una notificación que indicaba que había perdido una llamada de Google Sydney.
Las cosas se pusieron interesantes cuando revivió la misma experiencia una semana después. Sin embargo, Mitrovic respondió a la llamada, que supuestamente era de Google Sydney. Al recibir la llamada, el consultor fue notificado de que estaba hablando con el equipo de soporte de Google. Además, indicó que el equipo había marcado una actividad sospechosa en su cuenta y, coincidentemente, la rastrearon hasta la semana anterior. El representante afirmó que los piratas informáticos accedieron a la cuenta de Mitrovic y descargaron datos.
En ese momento, la sospecha del consultor de Microsoft alcanzó su punto máximo, lo que lo impulsó a verificar el identificador de la persona que llamaba en Google. Si bien estableció que el número de teléfono provenía legítimamente de la página comercial de Google, Mitrovic aún mantenía sus sospechas. Como sabrá, los atacantes utilizan tácticas sofisticadas para ocultar su verdadera identidad.
Mitrovic le pidió al representante que le enviara un correo electrónico, lo que lo ayudaría a determinar su identidad. Si bien el correo electrónico casi engañó al consultor de Microsoft, una de las direcciones en el campo "para" los delató, ya que estaba discretamente camuflada bajo un dominio que no era de Google.
Todas las últimas noticias, reseñas y guías para los fanáticos de Windows y Xbox.
Al concluir la publicación del blog, Mitrovic indicó que la principal señal de la estafa fue cuando recibió la llamada:
"La persona que llamó dijo Hola, la ignoré y luego, unos 10 segundos después, volví a decir Hola. En ese momento, la publiqué como una voz de IA porque la pronunciación y el espaciado eran demasiado perfectos".
Según Mitrovic:
"Las estafas se están volviendo cada vez más sofisticadas, más convincentes y se implementan a una escala cada vez mayor. La gente está ocupada y esta estafa sonaba y parecía lo suficientemente legítima como para darles una A por su esfuerzo. Es probable que muchas personas caigan en la trampa. Hay muchas herramientas para luchar contra los estafadores, sin embargo, a nivel individual la mejor herramienta sigue siendo la vigilancia, haciendo las comprobaciones básicas mencionadas anteriormente o buscando la ayuda de alguien en quien confíes".
Mitrovic dice que cortó la llamada inmediatamente después de descubrir que estaba hablando con actores maliciosos que podrían solicitar sus credenciales de inicio de sesión y comprometer su cuenta de Gmail.
Microsoft redobla sus esfuerzos en materia de seguridad a medida que los piratas informáticos adoptan la IA
Sede de Microsoft (crédito de la imagen: Windows Central)
Google anunció recientemente su asociación con la Global Anti-Scam Alliance (GASA) y la DNS Research Federation (DNS RF) para combatir los ataques sofisticados. A través del nuevo programa Global Signal Exchange, los usuarios pueden obtener información en tiempo real sobre las técnicas sofisticadas de fraude y estafas en línea que utilizan los atacantes, lo que podría ponerlos a salvo.
Microsoft también ha sufrido una cascada de fallos de seguridad. Sin embargo, durante el informe de ganancias de la compañía para el tercer trimestre del año fiscal 2024 (https://www.windowscentral.com/microsoft/microsoft-rips-passed-earnings-expectations-with-strong-fy23-thanks-to-new-era-of-ai-transformation), el director ejecutivo Satya Nadella indicó: "Estamos redoblando los esfuerzos en este trabajo tan importante, poniendo la seguridad por encima de todo lo demás, antes de todas las demás características e inversiones".
Parte de los esfuerzos de la empresa para reforzar la seguridad en toda su pila tecnológica incluye responsabilizar a los principales ejecutivos de Microsoft por la ciberseguridad vinculando una sección de sus paquetes de compensación al cumplimiento de los umbrales de seguridad establecidos. También promete acelerar su tiempo de respuesta cuando se plantean problemas de seguridad, lo que impulsa la solución.