Incidentes Asociados
En ciberseguridad, las amenazas en línea que plantea la IA pueden tener un impacto muy significativo en personas y organizaciones de todo el mundo. Las estafas de phishing tradicionales han evolucionado gracias al abuso de herramientas de IA, volviéndose cada año más frecuentes, sofisticadas y difíciles de detectar. El vishing con IA es quizás la técnica más preocupante de estas técnicas en evolución.
¿Qué es el vishing con IA?
El vishing con IA es una evolución del phishing de voz (vishing), en el que los atacantes se hacen pasar por personas de confianza, como representantes bancarios o equipos de soporte técnico, para engañar a las víctimas y que realicen acciones como transferir fondos o ceder el acceso a sus cuentas.
La IA potencia las estafas de vishing con tecnologías como la clonación de voz y los deepfakes que imitan las voces de personas de confianza. Los atacantes pueden usar la IA para automatizar llamadas telefónicas y conversaciones, lo que les permite atacar a un gran número de personas en un tiempo relativamente corto.
El vishing con IA en el mundo real
Los atacantes utilizan técnicas de vishing con IA indiscriminadamente, atacando a todo tipo de personas, desde personas vulnerables hasta empresas. Estos ataques han demostrado ser notablemente efectivos, y el número de estadounidenses que pierden dinero a causa del vishing aumentó un 23% entre 2023 y 2024. Para contextualizar esto, exploraremos algunos de los ataques de vishing con IA más notorios de los últimos años. Estafa empresarial italiana
A principios de 2025, estafadores utilizaron IA para imitar la voz del ministro de Defensa italiano, Guido Crosetto, en un intento de estafar a algunos de los líderes empresariales más destacados de Italia, como el diseñador de moda Giorgio Armani y el cofundador de Prada, Patrizio Bertelli.
Haciéndose pasar por Crosetto, los atacantes afirmaron necesitar ayuda financiera urgente para la liberación de un periodista italiano secuestrado en Oriente Medio. Solo un objetivo cayó en la estafa en este caso: Massimo Moratti, expropietario del Inter de Milán, y la policía logró recuperar los fondos robados.
Hoteles y agencias de viajes bajo asedio
Según el Wall Street Journal, el último trimestre de 2024 registró un aumento significativo de los ataques de vishing con IA en el sector hotelero y turístico. Los atacantes utilizaron IA para hacerse pasar por agentes de viajes y ejecutivos corporativos y engañar al personal de recepción del hotel para que divulgara información confidencial o permitiera acceso no autorizado a los sistemas.
Lo hicieron indicando a los representantes de atención al cliente, a menudo en horas punta, que abrieran un correo electrónico o un navegador con un archivo adjunto malicioso. Debido a la notable capacidad de imitar a los socios que trabajan con el hotel mediante herramientas de IA, las estafas telefónicas se consideraban una amenaza constante.
Estafas Románticas
En 2023, atacantes utilizaron IA para imitar las voces de familiares en apuros y estafar a personas mayores por aproximadamente 200.000 dólares. Las llamadas fraudulentas son difíciles de detectar, especialmente para las personas mayores, pero cuando la voz al otro lado del teléfono suena exactamente como la de un familiar, son casi indetectables. Cabe destacar que este incidente ocurrió hace dos años; desde entonces, la clonación de voz con IA se ha vuelto aún más sofisticada.
Vishing con IA como Servicio
El Vishing con IA como Servicio (VaaS) ha contribuido significativamente al crecimiento del vishing con IA en los últimos años. Estos modelos de suscripción pueden incluir funciones de suplantación de identidad, avisos personalizados y agentes adaptables, lo que permite a los actores maliciosos lanzar ataques de vishing con IA a gran escala.
En Fortra, hemos estado siguiendo a PlugValley, uno de los actores clave en el mercado de vishing con IA como servicio. Estos esfuerzos nos han proporcionado información sobre este grupo de amenazas y, quizás más importante, han puesto de manifiesto la complejidad de los ataques de vishing.
PlugValley**: VaaS con IA al descubierto**
El bot de vishing de PlugValley permite a los actores maliciosos usar voces realistas y personalizables para manipular a las posibles víctimas. El bot puede adaptarse en tiempo real, imitar patrones de habla humana, suplantar la identificación de llamadas e incluso añadir ruido de fondo del centro de llamadas a las llamadas de voz. Esto hace que las estafas de vishing con IA sean lo más convincentes posible, lo que ayuda a los ciberdelincuentes a robar credenciales bancarias y contraseñas de un solo uso (OTP).
PlugValley elimina las barreras técnicas para los ciberdelincuentes, ofreciendo tecnología escalable contra el fraude con un solo clic por suscripciones mensuales nominales.
Los proveedores de VaaS con IA como PlugValley no solo realizan estafas, sino que también industrializan el phishing. Representan la última evolución de la ingeniería social, permitiendo a los ciberdelincuentes utilizar herramientas de aprendizaje automático (ML) como arma y aprovecharse de las personas a gran escala.
Protección contra el vishing con IA
Las técnicas de ingeniería social impulsadas por IA, como el vishing con IA, se volverán más comunes, efectivas y sofisticadas en los próximos años. Por lo tanto, es importante que las organizaciones implementen estrategias proactivas como la formación de concienciación de los empleados, sistemas mejorados de detección de fraude e inteligencia de amenazas en tiempo real.
A nivel individual, las siguientes pautas pueden ayudar a identificar y evitar los intentos de vishing con IA:
-
Desconfíe de las llamadas no solicitadas: Tenga cuidado con las llamadas telefónicas inesperadas, especialmente aquellas que solicitan información personal o financiera. Las organizaciones legítimas no suelen solicitar información confidencial por teléfono. - Verificar la identidad de quien llama: Si alguien dice representar a una organización conocida, verifique su identidad contactando directamente a la organización con su información de contacto oficial. WIRED sugiere crear una contraseña secreta con su familia para detectar ataques de vishing que suplanten la identidad de un familiar.
-
Limita el intercambio de información: Evite revelar información personal o financiera durante llamadas no solicitadas. Tenga especial cuidado si la persona que llama crea un sentido de urgencia o amenaza con consecuencias negativas.
-
Infórmese y a los demás: Manténgase informado sobre las tácticas comunes de vishing y comparta este conocimiento con amigos y familiares. La concientización es fundamental contra los ataques de ingeniería social.
-
Denunciar llamadas sospechosas: Informe a las autoridades pertinentes o a las agencias de protección al consumidor sobre los intentos de vishing. Denunciar ayuda a rastrear y mitigar actividades fraudulentas.
Todo parece indicar que el vishing de IA ha llegado para quedarse. De hecho, es probable que siga aumentando en volumen y mejorando su ejecución. Dada la prevalencia de deepfakes y la facilidad de adopción de campañas con modelos como servicio, las organizaciones deben anticipar que, en algún momento, serán blanco de un ataque.
La formación de los empleados y la detección de fraudes son clave para prepararse y prevenir ataques de vishing de IA. La sofisticación del vishing de IA puede llevar incluso a profesionales de seguridad bien capacitados a creer solicitudes o narrativas aparentemente auténticas. Por ello, una estrategia de seguridad integral y por capas que integre medidas de seguridad tecnológicas con un equipo de trabajo constantemente informado y vigilante es esencial para mitigar los riesgos que plantea el phishing de IA.