EL PHISHING II

Asunto: Interesante oportunidad de patrocinio con [Nombre de la marca]

Hola [Nombre del YouTuber]:

¡Espero que te vaya bien! Me llamo [Tu nombre] y trabajo con [Nombre de la marca], una empresa especializada en [sector/tipo de producto, p. ej., periféricos para videojuegos, cuidado de la piel, software]. Hemos estado siguiendo tu canal de YouTube y nos encanta tu contenido, especialmente [menciona un video o tema específico].

Creemos que tu audiencia sería ideal para nuestro producto, [Nombre del producto], y nos encantaría explorar una colaboración contigo. Esto es lo que ofrecemos:

• Una integración patrocinada en uno de tus próximos videos.
• Un paquete de compensación competitivo basado en el tamaño y la interacción de tu audiencia.
• Un programa de afiliados/código de descuento personalizado para tus espectadores (opcional).
• Te proporcionaremos un producto gratuito para que lo pruebes y lo revises.

Si te interesa, nos encantaría conversar sobre más detalles, incluyendo las condiciones de pago y las expectativas de contenido. Cuéntame qué te parece y con gusto puedo programar una llamada rápida o darte más detalles por correo electrónico.

¡Espero tener noticias tuyas!

Saludos cordiales,

[Tu nombre]
[Marca]
[Tu puesto]
[Sitio web de la empresa]”

Sin embargo, ChatGPT no terminó ahí. Afortunadamente, al final de este mensaje, la IA agregó lo siguiente:

“Señales de alerta de un correo electrónico de patrocinio fraudulento:

1. Saludo genérico («Estimado/a señor/a» en lugar de su nombre real).
2. Mala gramática y ortografía (las marcas legítimas se comunican profesionalmente).
3. Ofertas poco realistas (p. ej., miles de dólares por un canal pequeño).
4. Dirección de correo electrónico extraña (p. ej., una dirección de Gmail aleatoria en lugar de un dominio oficial).
5. Solicitudes para descargar archivos o iniciar sesión (intentos de phishing).
6. Falta de detalles claros sobre lo que esperan de usted.”

¡Genial! Nos aseguraremos de evitar estas señales de alerta en nuestro intento de phishing.

Ahora, decidamos qué tipo de patrocinador somos. ChatGPT nos proporcionó una lista de posibles empresas: periféricos para juegos, cuidado de la piel y software. Los periféricos para juegos son bastante fáciles; asumiendo que no tenemos conocimientos en este ámbito, le pregunté a ChatGPT: «¿Cuáles son los patrocinadores más populares de periféricos para juegos?». La lista es demasiado larga para incluirla aquí, pero para mayor seguridad, elegiremos una de las empresas que aparecen más abajo. Sin tener que esforzarnos más en averiguar qué patrocinadores ya tiene el YouTuber, probablemente tengamos más posibilidades con una marca menos conocida. Elegiremos la empresa número ocho de la lista de ChatGPT, que era un proveedor de «monitores para juegos, placas base y tarjetas gráficas».

El siguiente paso debería ser obvio. Pregúntale a ChatGPT: «¿Podrías escribir un ejemplo de correo electrónico de patrocinio de esta empresa a [nombre del influencer] para una nueva placa base para juegos?»

Todas estas indicaciones tardaron menos de cinco minutos en crearse. Unos minutos más para revisar el borrador y asegurarnos de que no haya ninguna de esas molestas señales de alerta de un correo electrónico fraudulento, y nuestro correo electrónico de phishing estará listo.

El correo electrónico podría completarse y enviarse desde una cuenta desechable sin esfuerzo adicional. Quizás esto pille al influencer en un mal día y muerda el anzuelo, respondiendo al correo electrónico e iniciando una conversación que el atacante finalmente dirige a seguir un enlace a un sitio web falso o hacer clic en un enlace falsificado para firmar un contrato en DocuSign.

Si el atacante está lo suficientemente motivado, podría tomar medidas adicionales y más complejas. Falsificar direcciones de correo electrónico es más común de lo que la mayoría desearía. Investigaciones adicionales, quizás con la ayuda de la IA, en redes sociales (LinkedIn, X, etc.) pueden revelar a personas con responsabilidades de patrocinio empleadas por una empresa. En lugar de inventar un nombre y una dirección de correo electrónico falsos, el atacante ahora tiene una persona real a la que suplantar. Quizás, por si el objetivo es especialmente cauteloso, incluyamos un enlace a las cuentas de redes sociales del empleado. Si la recompensa potencial es lo suficientemente sustancial, el atacante puede dedicar tiempo a copiar la cuenta X (anteriormente Twitter) completa de este empleado y pagar por la «verificación» en la plataforma X, proporcionando un enlace a la cuenta falsa en su correo electrónico de phishing. Si el objetivo se toma el tiempo de verificar la identidad falsa del atacante y contactar con X, encontrará una cuenta, una foto e incluso algunas publicaciones. El atacante podrá responder a los mensajes de X enviados a la cuenta falsa y continuar con la farsa. Si a esto le sumamos una teleconferencia falsa, ¿quién no haría clic en un enlace para firmar un contrato y recibir un gran pago?

Ahora, imagina que el objetivo es alguien de tu organización. ¿Qué tipo de correos electrónicos reales ve a diario? Quizás la respuesta de ChatGPT no sea tan clara como en nuestro ejemplo anterior, por lo que el atacante se ve obligado a cambiar de estrategia. En lugar de basarse en la ocupación de la persona, el atacante puede recurrir a las redes sociales e identificar sus deseos. Quizás tenga demasiadas publicaciones sobre su afición a la jardinería o la fotografía. «Hola ChatGPT, ¿qué tipo de correos electrónicos le interesarían a un jardinero? ¿Cómo sería un correo electrónico con una «guía de jardinería de temporada»? ¿Cuál sería una fuente fiable de guías de jardinería de temporada?». De repente, un jardinero aficionado que gestiona el acceso a la base de datos de tu organización recibe un correo electrónico de la Sociedad Americana de Horticultura con un enlace atractivo a una guía creada específicamente para su zona de influencia.

Jugando a la Defensiva

Afortunadamente, algunas de las herramientas que utilizan los phishers también se están implementando para ayudar a defenderse de estos ataques dirigidos. Las herramientas automatizadas rastrean los correos electrónicos en busca de enlaces sospechosos y direcciones de correo electrónico incorrectas, pero nunca lograrán mantenerlos fuera de nuestras bandejas de entrada.

En última instancia, es responsabilidad de cada persona mantener una vigilancia constante, a veces agotadora, contra los intentos de phishing. Es especialmente importante evitar caer en la tentación de sentirse seguros, ya que nos hemos vuelto expertos en detectar errores tipográficos o de traducción, o en pasar el cursor sobre enlaces para revelar una maraña irreconocible en nuestros mensajes de texto y correos electrónicos. Los atacantes están mejor preparados para cometer menos errores y descubrir qué señuelo usar para hacernos bajar la guardia.