EL PHISHING

económica, para acceder a sistemas especialmente sensibles, para dañar la reputación de una empresa o gobierno; o por diversas razones maliciosas.

Tradicionalmente, el phishing selectivo era una tarea más compleja. Los perpetradores debían investigar por su cuenta, revisando manualmente la información disponible sobre el objetivo para determinar cómo abordar el ataque. ¿Qué tipo de comunicaciones suele recibir el objetivo? ¿Con quién se comunica? Luego estaba la comunicación en sí. Los atacantes debían redactar un correo electrónico o un texto que pareciera legítimo. Errores ortográficos, una sintaxis extraña o expresiones idiomáticas fuera de lugar podían levantar sospechas y hacer que el ataque fracasara. Si el atacante quería que la víctima descargara un malware, normalmente tenía que crearlo él mismo. Se requerían individuos con las habilidades y la motivación necesarias para realizar todo este esfuerzo adicional.

El phishing selectivo actual utiliza nuevas herramientas que facilitan y hacen más accesibles estos ataques. Las herramientas de IA son cada vez más eficaces para crear ataques personalizados. Un estudio de 2024 evaluó la capacidad de las herramientas de IA de modelos de lenguaje grandes (LLM) para crear ataques de phishing selectivos. Se encargó a modelos de IA específicos recopilar información y crear perfiles de vulnerabilidad para objetivos específicos. Crearon perfiles útiles el 88% de las veces y generaron perfiles inexactos solo el 4%. Además, lograron una tasa de éxito del 54% en correos electrónicos de phishing generados íntegramente por IA, logrando que más de la mitad de los participantes del estudio hicieran clic en los enlaces del correo electrónico.

La IA también puede gestionar intentos de phishing por mensaje de texto, generando respuestas que parecen auténticas con la suficiente rapidez como para parecer humanas en cualquier idioma. ¿Necesitas engañar a una víctima que solo confía en alguien a quien ve? Las videoconferencias denominadas Deep Fake ya han demostrado su eficacia.

¿Cómo luce un intento de ataque de Phishing Selectivo en el 2025?

El intento provendrá de una fuente que no parece ser extraña. El atacante habrá investigado, ya sea sólo o con la ayuda de IA, y sabrá qué quiere o qué necesita la víctima.

La interacción imitará comunicaciones reales de otras fuentes confiables. Todo está en internet, incluyendo una cantidad casi infinita de ejemplos de memorandos, plantillas de correo electrónico y guías de estilo. Los atacantes pueden analizarlos a fondo más rápido que nunca.

El atacante cubrirá sus espaldas y parecerá legítimo. La mayoría de los objetivos, especialmente los de empresas valiosas, deberían saber que deben desconfiar de los correos electrónicos de fuentes externas gracias a la formación en ciberseguridad; y los atacantes saben que tendrán que superar una base de sospechas bastante sólida. Quien quiera que los atacantes afirmen ser en el correo electrónico puede estar respaldado por una presencia en redes sociales repleta de publicaciones, fotos y, posiblemente, vídeos que parecen auténticos.

Los atacantes excesivamente motivados harán todo lo posible para atacar una defensa debilitada. Pueden inundar la bandeja de entrada de la víctima con correos electrónicos de phishing o correo basura fáciles de detectar, creando una falsa sensación de seguridad y confianza en la capacidad de la víctima para detectar un ataque. Pueden planificar su ataque para un día, semana o temporada particularmente ajetreada, habiendo identificado los momentos en que el objetivo probablemente esté más cansado.

Si la víctima intenta comunicarse con el atacante para verificar su autenticidad antes de morder el anzuelo, encontrará a una persona cortés, profesional y con buena comunicación. Los mensajes de texto o directos a través de aplicaciones o redes sociales serán respondidos rápidamente con las cortesías pertinentes.