Incidentes Asociados
Los ciberdelincuentes están aprovechando Gamma AI, una plataforma para crear presentaciones, sitios web y documentos, para crear redireccionadores de páginas de phishing sofisticados y difíciles de detectar.
Estos actores maliciosos están explotando las capacidades avanzadas de Gamma para alojar páginas de phishing (https://cybersecuritynews.com/phishing-attack/) que redirigen directamente al dominio legítimo, gamma.app, lo que genera preocupación por el uso indebido de herramientas basadas en IA en ciberataques.
El esquema de phishing comienza con un enlace alojado en el dominio de Gamma (p. ej., hxxps://gamma[.]app/docs/...). Al hacer clic, los usuarios son redirigidos a través de una serie de páginas intermediarias.
El proceso imita los flujos de trabajo legítimos al incorporar verificaciones similares a CAPTCHA, como Cloudflare Turnstile o mecanismos similares.
Según Ankit Anubhav, esta táctica no solo añade legitimidad, sino que también ayuda a eludir los escáneres de seguridad automatizados que podrían detectar actividad sospechosa.
Una vez resuelto el CAPTCHA, los usuarios son redirigidos a un sitio web legítimo como Wikipedia (en modo sandbox) o a una página de phishing completamente operativa alojada en otro sistema.
Estas páginas de phishing están diseñadas para robar información confidencial, como credenciales de inicio de sesión o datos financieros. Al alojar el redireccionador inicial en el dominio de Gamma, los atacantes explotan la confianza asociada a la plataforma, lo que dificulta que los proveedores de seguridad identifiquen y bloqueen estas amenazas.
¿Por qué se está explotando Gamma AI?
Gamma AI ofrece herramientas que permiten a los usuarios crear sitios web y presentaciones impecables sin necesidad de conocimientos de programación. Su capacidad para clonar sitios web importando contenido de URL la hace especialmente atractiva para actores maliciosos. Esta función permite a los atacantes replicar sitios web aparentemente legítimos con un mínimo esfuerzo, que luego pueden utilizar en sus campañas de phishing.
Además, el dominio legítimo de Gamma y sus robustas prácticas de cifrado lo convierten en una plataforma ideal para alojar redireccionadores. Los sistemas de seguridad suelen incluir en la lista blanca dominios de confianza como gamma.app, lo que permite, sin darse cuenta, que estos enlaces maliciosos pasen desapercibidos.
El uso de plataformas basadas en IA como Gamma en campañas de phishing pone de manifiesto la creciente sofisticación de las ciberamenazas. Al combinar dominios de confianza con técnicas avanzadas de redirección, los atacantes están encontrando nuevas formas de evadir la detección.
Esta tendencia refleja otras campañas de phishing recientes que han explotado servicios como Cloudflare R2 y enlaces de atribución de YouTube para distribuir contenido malicioso.
La integración de sistemas CAPTCHA complica aún más los esfuerzos de detección al impedir que los escáneres automatizados analicen el destino final del phishing. Este enfoque garantiza que solo las víctimas humanas accedan a las páginas maliciosas, mientras que las herramientas de seguridad permanecen ciegas a la cadena de ataque.
¿Qué se puede hacer?
Para mitigar estos riesgos, los expertos en ciberseguridad recomiendan:
- Monitoreo mejorado de dominios: Los proveedores deben monitorear de cerca dominios confiables como gamma.app para detectar indicios de abuso.
- Detección de amenazas basada en IA: El uso de herramientas basadas en IA puede ayudar a identificar patrones inusuales en el uso de plataformas confiables.
- Educación del usuario: Es crucial concienciar sobre las tácticas de phishing que involucran páginas intermediarias y CAPTCHA.
El uso indebido de la IA de Gamma subraya la naturaleza dual de los avances tecnológicos. Si bien plataformas como Gamma brindan a los usuarios herramientas innovadoras, también permiten que los ciberdelincuentes las exploten.
A medida que las tácticas de phishing evolucionan, un enfoque proactivo que combine tecnología y concienciación será fundamental para anticiparse a estas amenazas.