Incidentes Asociados
El FBI emite este anuncio para advertir y brindar consejos de mitigación al público sobre una campaña maliciosa de mensajes de texto y voz en curso. Desde abril de 2025, actores maliciosos se han hecho pasar por altos funcionarios estadounidenses para atacar a individuos, muchos de los cuales son o han sido altos funcionarios del gobierno federal o estatal de EE. UU. y sus contactos. Si recibe un mensaje que afirma provenir de un alto funcionario estadounidense, no dé por sentado que es auténtico.
Detalles específicos de la campaña
Los actores maliciosos han enviado mensajes de texto y mensajes de voz generados por IA (técnicas conocidas como smishing y vishing, respectivamente) que afirman provenir de un alto funcionario estadounidense con el fin de establecer una relación antes de obtener acceso a cuentas personales. Una forma de obtener dicho acceso es enviando a las personas objetivo un enlace malicioso con el pretexto de cambiar a una plataforma de mensajería independiente. El acceso a cuentas personales u oficiales operadas por funcionarios estadounidenses podría utilizarse para atacar a otros funcionarios del gobierno, o a sus socios y contactos, utilizando la información de contacto confiable que obtienen. La información de contacto obtenida a través de esquemas de ingeniería social también podría utilizarse para suplantar contactos y obtener información o fondos. El "smishing" consiste en atacar maliciosamente a personas mediante mensajes de texto SMS o MMS. El "vishing", que puede incorporar voces generadas por IA, consiste en atacar maliciosamente a personas mediante notas de voz. Tanto el smishing como el vishing utilizan tácticas similares al phishing selectivo, que utiliza el correo electrónico para atacar a personas o grupos específicos.
El smishing, el vishing y el phishing selectivo son tácticas delictivas comunes
Tradicionalmente, los actores maliciosos han aprovechado el smishing, el vishing y el phishing selectivo para migrar a una plataforma de mensajería secundaria donde pueden presentar malware o introducir hipervínculos que dirigen a las víctimas a un sitio web controlado por el actor que roba información de inicio de sesión, como nombres de usuario y contraseñas. Para el smishing, los actores maliciosos suelen utilizar software para generar números de teléfono que no están atribuidos a un teléfono móvil o suscriptor específico para interactuar con la víctima haciéndose pasar por un socio o familiar. Para el vishing, los actores maliciosos explotan con mayor frecuencia el audio generado por IA para hacerse pasar por figuras públicas conocidas o familiares y así aumentar la credibilidad de sus estrategias.
Recomendaciones
La siguiente guía puede utilizarse para identificar un mensaje sospechoso y protegerse de esta campaña.
Cómo detectar un mensaje falso
- Verifique la identidad de la persona que le llama o le envía mensajes de texto o de voz. Antes de responder, investigue el número de origen, la organización o la persona que pretende contactarle. A continuación, identifique de forma independiente el número de teléfono de la persona y llame para verificar su autenticidad.
- Revise cuidadosamente la dirección de correo electrónico; la información de contacto para mensajes, incluidos los números de teléfono; las URL; y la ortografía utilizada en cualquier correspondencia o comunicación. Los estafadores suelen usar pequeñas diferencias para engañarle y ganarse su confianza. Por ejemplo, pueden incorporar fotografías públicas en los mensajes de texto, realizar pequeñas modificaciones en los nombres y la información de contacto, o usar voces generadas por IA para hacerse pasar por un contacto conocido. Busque imperfecciones sutiles en imágenes y videos, como manos o pies distorsionados, rasgos faciales poco realistas, rostros borrosos o irregulares, accesorios poco realistas como gafas o joyas, sombras imprecisas, marcas de agua, retraso en las llamadas de voz, coincidencia de voz y movimientos poco naturales.
Preste atención al tono y la elección de palabras para distinguir entre una llamada telefónica o un mensaje de voz legítimo de un contacto conocido y una clonación de voz generada por IA, ya que pueden sonar casi idénticos.
El contenido generado por IA ha avanzado tanto que a menudo es difícil de identificar. Si tiene dudas sobre la autenticidad de alguien que desea comunicarse con usted, comuníquese con sus agentes de seguridad pertinentes o con el FBI para obtener ayuda.
Cómo protegerse de un posible fraude o pérdida de información confidencial
- Nunca comparta información confidencial ni la información de contacto de un socio con personas que solo haya conocido en línea o por teléfono. Si alguien que conoce bien lo contacta a través de una nueva plataforma o número de teléfono, verifique la nueva información de contacto a través de una plataforma previamente confirmada o una fuente confiable. No envíe dinero, tarjetas de regalo, criptomonedas ni otros activos a personas que no conozca o que solo haya conocido en línea o por teléfono. Si alguien que conoce (o un socio de alguien que conoce) le solicita que envíe dinero o criptomonedas, confirme su información de contacto antes de actuar. Además, evalúe críticamente el contexto y la verosimilitud de la solicitud.
No haga clic en ningún enlace de un correo electrónico o mensaje de texto hasta que confirme la identidad del remitente.
Tenga cuidado con lo que descarga. Nunca abra archivos adjuntos de un correo electrónico, haga clic en enlaces en mensajes ni descargue aplicaciones a petición de alguien que no haya verificado.
Configure la autenticación de dos factores (o multifactor) en cualquier cuenta que la permita y nunca la desactive. Los cibercriminales pueden usar técnicas de ingeniería social para convencerle de que revele un código de autenticación de dos factores, lo que les permite comprometer y tomar el control de las cuentas. Nunca proporcione un código de dos factores a nadie por correo electrónico, mensaje de texto SMS/MMS ni aplicación de mensajería cifrada. - Crea una palabra o frase secreta con tus familiares para verificar su identidad.
Denuncias de Víctimas e Información Adicional
- Para más información, consulta la guía del FBI sobre Suplantación de identidad y phishing, así como un anuncio de servicio público anterior sobre cómo "Los delincuentes utilizan inteligencia artificial generativa para facilitar el fraude financiero". La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado los siguientes recursos: "Guía de phishing: Detener el ciclo de ataque en la fase uno | CISA" y "Enseñe a los empleados a evitar el phishing | CISA".
Si cree haber sido víctima de la campaña descrita anteriormente, comuníquese con los responsables de seguridad pertinentes y con el FBI. El FBI solicita a las víctimas que denuncien cualquier incidente a su oficina local del FBI o al Centro de Quejas de Delitos en Internet (IC3) en www.ic3.gov. Asegúrese de incluir la información más detallada posible.