La inteligencia artificial generativa (GenAI) está causando sensación en todo el mundo. Su popularidad y uso generalizado también ha atraído la atención de los cibercriminales, lo que ha dado lugar a diversas ciberamenazas. Sin embargo, gran parte del debate sobre las amenazas asociadas a herramientas como ChatGPT se ha centrado en cómo se puede utilizar indebidamente la tecnología para ayudar a los estafadores a crear mensajes de phishing convincentes, producir código malicioso o investigar vulnerabilidades. Tal vez menos gente hable del uso de GenAI como señuelo y caballo de Troya en el que ocultar malware. No es demasiado difícil encontrar ejemplos. El año pasado, por ejemplo, escribimos sobre una campaña que instaba a los usuarios de Facebook a probar la última versión de la herramienta de inteligencia artificial legítima de Google, “Bard”, pero en su lugar los anuncios mostraban una herramienta de impostor maliciosa. Estas campañas son ejemplos de una tendencia preocupante y, claramente, no van a desaparecer. Por lo tanto, es fundamental comprender cómo funcionan, aprender a detectar las señales de advertencia y tomar precauciones para que su identidad y sus finanzas no corran peligro. ¿Cómo están utilizando los malos GenAI como señuelo? Los cibercriminales tienen varias formas de engañarlo para que instale malware disfrazado de aplicaciones GenAI. Estas incluyen: Sitios de phishing En la segunda mitad de 2023, ESET bloqueó más de 650.000 intentos de acceder a dominios maliciosos que contenían «chapgpt» o texto similar. Lo más probable es que las víctimas lleguen allí después de hacer clic en un enlace en las redes sociales o mediante un correo electrónico/mensaje móvil. Algunas de estas páginas de phishing pueden contener enlaces para instalar malware disfrazado de software GenAI. Extensiones del navegador web El informe de amenazas del primer semestre de 2024 de ESET detalla una extensión de navegador maliciosa que los usuarios son engañados para instalar después de ser atraídos por anuncios de Facebook que prometen llevarlos al sitio web oficial de Sora de OpenAI o Gemini de Google. Aunque la extensión se hace pasar por Google Translate, en realidad es un ladrón de información conocido como «Rilide Stealer V4», que está diseñado para recopilar las credenciales de Facebook de los usuarios. Rilide Stealer haciéndose pasar por una extensión del navegador Chrome (fuente: Informe de amenazas de ESET H1 2024) Desde agosto de 2023, la telemetría de ESET registró más de 4000 intentos de instalar la extensión maliciosa. Otras extensiones maliciosas afirman ofrecer la funcionalidad GenAI y, en realidad, pueden hacerlo de forma limitada, además de entregar malware, según Meta. Aplicaciones falsas También ha habido varios informes de aplicaciones GenAI falsas publicadas especialmente en tiendas de aplicaciones móviles, y muchas de estas aplicaciones contienen malware. Algunas están cargadas de software malicioso diseñado para robar información confidencial del dispositivo del usuario. Esto puede incluir credenciales de inicio de sesión, detalles de identificación personal, información financiera y más. Esta aplicación web falsa ChatGPT envía claves API OpenAI a su propio servidor (fuente: Informe de amenazas de ESET H2 2023) Otras son estafas diseñadas para generar ingresos para el desarrollador prometiendo capacidades avanzadas de IA, a menudo por una tarifa. Una vez descargadas, pueden bombardear a los usuarios con anuncios, solicitar compras dentro de la aplicación o requerir suscripciones a servicios que no existen o son de muy mala calidad. Anuncios maliciosos Los actores maliciosos están utilizando la popularidad de las herramientas GenAI para engañar a los usuarios para que hagan clic en publicidad maliciosa. Los anuncios maliciosos de Facebook son particularmente frecuentes. Meta advirtió el año pasado que muchas de estas campañas están diseñadas para comprometer «empresas con acceso a cuentas publicitarias en Internet». Pantalla de inicio mostrada por el instalador del ladrón de información Vidar y haciéndose pasar por Midjourney (fuente: Informe de amenazas de ESET H1 2024) Los actores de amenazas secuestran una cuenta o página legítima, cambian la información del perfil para que parezca una página auténtica de ChatGPT u otra página de la marca GenAI y luego usan las cuentas para ejecutar anuncios falsos. Estos ofrecen enlaces a la última versión de las herramientas GenAI, pero en realidad implementan malware ladrón de información, según los investigadores. El arte del señuelo Los humanos somos criaturas sociales. Queremos creer las historias que nos cuentan. También somos codiciosos. Queremos conseguir los últimos gadgets y aplicaciones. Los actores de amenazas se aprovechan de nuestra codicia, nuestro miedo a perdernos algo, nuestra credulidad y nuestra curiosidad para hacer que hagamos clic en enlaces maliciosos o descarguemos aplicaciones con malware oculto en su interior. Pero para que hagamos clic en el botón de instalación, lo que se nos ofrece tiene que ser bastante llamativo y, como todas las mejores mentiras, tiene que estar basado en una pizca de verdad. Los ingenieros sociales son especialmente hábiles en el dominio de estas artes oscuras: persuadirnos para que hagamos clic en noticias escabrosas sobre celebridades o temas de actualidad (¿recuerdas esos cuentos fantásticos sobre vacunas falsas contra el COVID-19?). A veces nos ofrecen algo gratis, con un descuento increíble o antes de que alguien más lo consiga. Como explicamos aquí, caemos en estos trucos porque: Tenemos prisa, especialmente si estamos viendo el contenido en nuestro dispositivo móvil Son buenos narradores de historias, y cada vez lo hacen con más fluidez, usando (irónicamente) GenAI para contar sus historias sin problemas en varios idiomas Nos encanta obtener algo a cambio de nada, incluso si es demasiado bueno para ser verdad Los malos son buenos para compartir conocimientos sobre lo que funciona y lo que no, mientras que nosotros somos menos buenos para buscar o aceptar consejos Estamos programados para respetar la autoridad, o al menos la legitimidad de una oferta, siempre que tenga una marca «oficial» Cuando se trata de GenAI, los lanzadores de malware se están volviendo cada vez más sofisticados. Usan múltiples canales para difundir sus mentiras. Y están disfrazando el malware como todo, desde ChatGPT y el creador de videos Sora AI, hasta el generador de imágenes Midjourney, DALL-E y el editor de fotos Evoto. Muchas de las versiones que promocionan aún no están disponibles, lo que atrae a la víctima: “ChatGPT 5” o “DALL-E 3”, por ejemplo. Se aseguran de que el malware siga volando bajo el radar adaptando regularmente sus cargas útiles para evitar que las herramientas de seguridad lo detecten. Y dedican mucho tiempo y esfuerzo a garantizar que sus señuelos (como los anuncios de Facebook) parezcan oficiales. Si no parece oficial, ¿quién lo va a descargar? ¿Qué podría estar en riesgo? Entonces, ¿qué es lo peor que podría pasar? Si hace clic para descargar una aplicación GenAI falsa en su teléfono móvil o en un sitio web y se instala malware, ¿cuál es el objetivo final de los malos? En muchos casos, es un ladrón de información. Estos programas maliciosos están diseñados, como sugiere el nombre, para recopilar información confidencial. Podría incluir credenciales para sus cuentas en línea, como inicios de sesión de trabajo o tarjetas de crédito almacenadas, cookies de sesión (para eludir la autenticación multifactor), activos almacenados en billeteras de criptomonedas, flujos de datos de aplicaciones de mensajería instantánea y mucho más. Por supuesto, no se trata solo de malware ladrón de información. En teoría, los cibercriminales podrían ocultar cualquier tipo de malware en aplicaciones y enlaces maliciosos, incluidos ransomware y troyanos de acceso remoto (RAT). Para la víctima, esto podría llevar a: Un hacker obtiene control remoto completo sobre su PC/teléfono móvil y todo lo almacenado en él. Podrían usar el acceso para robar su información personal y financiera más confidencial, o convertir su máquina en una computadora «zombi» para lanzar ataques contra otros Podrían usar su información personal para el fraude de identidad, lo que puede ser extremadamente angustiante, por no mencionar costoso, para la víctima Podrían usar detalles financieros y de identidad para obtener nuevas líneas de crédito en su nombre, o para robar activos criptográficos y acceder y vaciar cuentas bancarias Incluso podrían usar sus credenciales de trabajo para lanzar un ataque a su empleador o una organización socia/proveedora. Una reciente campaña de extorsión digital que utilizó malware infostealer para obtener acceso a cuentas de Snowflake condujo a la vulneración de decenas de millones de detalles de clientes Cómo evitar los señuelos maliciosos de GenAI Algunas prácticas recomendadas probadas y comprobadas deberían mantenerte en el camino correcto y lejos de las amenazas de GenAI. Considera lo siguiente: Solo instala aplicaciones de tiendas de aplicaciones oficiales Google Play y Apple App Store tienen procesos de investigación rigurosos y monitoreo regular para eliminar aplicaciones maliciosas. Evita descargar aplicaciones de sitios web de terceros o fuentes no oficiales, ya que es mucho más probable que alberguen software malicioso. Verifica dos veces a los desarrolladores detrás de las aplicaciones y cualquier revisión de su software Antes de descargar una aplicación, verifica las credenciales del desarrollador y busca otras aplicaciones que hayan desarrollado y lee las reseñas de los usuarios. Las aplicaciones sospechosas a menudo tienen descripciones mal escritas, un historial de desarrollo limitado y comentarios negativos que resaltan los problemas. Ten cuidado al hacer clic en anuncios digitales Los anuncios digitales, especialmente en plataformas de redes sociales como Facebook, pueden ser un vector común para distribuir aplicaciones maliciosas. En lugar de hacer clic en anuncios, busca directamente la aplicación o herramienta en tu tienda de aplicaciones oficial para asegurarte de que estás obteniendo la versión legítima. Comprueba las extensiones del navegador web antes de instalarlas Las extensiones del navegador web pueden mejorar tu experiencia web, pero también pueden suponer riesgos de seguridad. Comprueba los antecedentes del desarrollador y lee las reseñas antes de instalar cualquier extensión. Cíñete a desarrolladores y extensiones conocidos con altas calificaciones y comentarios sustanciales de los usuarios. Utiliza un software de seguridad integral de un proveedor de confianza Asegúrate de tener un software de seguridad sólido de un proveedor de confianza instalado en tu PC y todos los dispositivos móviles. Esto proporciona protección en tiempo real contra malware, intentos de phishing y otras amenazas en línea. El phishing sigue siendo una amenaza perenne. Ten cuidado con los mensajes no solicitados que te inciten a hacer clic en enlaces o abrir archivos adjuntos. Verifica la identidad del remitente antes de interactuar con cualquier correo electrónico, mensaje de texto o mensaje de redes sociales que parezca sospechoso. Activa la autenticación multifactor (MFA) para todas tus cuentas en línea La MFA añade una capa adicional de seguridad a tus cuentas en línea al requerir múltiples métodos de verificación. Activa la MFA siempre que sea posible para proteger tus cuentas incluso si tu contraseña está comprometida. Como se muestra arriba, los ciberdelincuentes no pueden resistirse a explotar el entusiasmo en torno a los nuevos lanzamientos. Si ve una oferta para descargar una nueva versión de una herramienta GenAI, verifique su disponibilidad a través de los canales oficiales antes de continuar. Consulte el sitio web oficial o fuentes de noticias confiables para confirmar el lanzamiento. GenAI está cambiando el mundo que nos rodea a un ritmo rápido. Asegúrese de que no cambie el suyo para peor.