El auge de los grandes modelos de lenguaje como ChatGPT están transformando multitud de procesos en diversos ámbitos de la economía. También en la singular industria de la ciberdelincuencia.

Al menos así lo reflejan los datos que investigadores de la compañía Darktrace han compartido en las últimas horas. Un nuevo estudio de esta firma de ciberseguridad refleja que los ataques que emplean el correo electrónico y técnicas de ingeniería social como estrategia han crecido en un 135% en los 2 primeros meses del año 2023.

La ingeniería social es un conjunto de técnicas con las que los criminales informáticos tienen la capacidad de engañar y estafar a sus víctimas, tanto para robarles contraseñas u otros datos sensibles como para animarles a infectar sus propios sistemas sin ser conscientes de ello.

Un "temido hacker" de 19 años es el único acusado de robar datos bancarios de más de 575.000 españoles, pero todavía hay preguntas sin respuesta

Un ejemplo es un correo electrónico que suplanta a un compañero de trabajo y que se dirige a su víctima pidiéndole que abra un PDF adjunto para imprimírselo en la oficina. Los ciberdelincuentes más hábiles en el campo de la ingeniería social habrán reunido toda la información necesaria sobre su víctima para tratar de armar un engaño lo más infalible posible.

Por supuesto, ese PDF que tu supuesto compañero te pedía que descargaras y abrieses en tu sistema en realidad contiene un malware que acabaría infectando a tu dispositivo y probablemente al conjunto de tu compañía.

El furor de ChatGPT se hace notar en la eficacia de la ingeniería social

El estudio de Darktrace indica que entre enero y febrero de 2023 la prevalencia de los correos electrónicos con ataques de ingeniería social ha aumentado en un 135% entre sus clientes. La misma compañía desliza que este crecimiento coincide con el furor que ChatGPT, un bot de conversación desarrollado por OpenAI y basado en el modelo de lenguaje de gran tamaño GPT-3, ahora GPT-4.

Para engañar a sus víctimas, la ingeniería social requiere que por parte de los atacantes existan conocimientos lingüísticos "sofisticados". No en vano, muchos de estos ataques a gran escala son en realidad textos mal traducidos que son fácilmente identificables como fraude e incluso se han convertido en cómicos virales de la red.

En su estudio estadístico, Darktrace también apunta que el número de correos maliciosos en los que se incluía un enlace o un archivo adjunto ha descendido. Max Heinemeyer, el responsable de Producto de la firma, incide en que el correo sigue siendo "la vulnerabilidad clave de los negocios hoy en día". 

"Las defensas se enfrentan ahora a ataques que usan sofisticados modelos de IA generativos y a toda una nueva gama de fraudes que emplean técnicas y recurren a temas que nunca antes habíamos visto", enfatiza el directivo.

"En un mundo en el que incrementan los ataques con IA, ya no podemos poner el foco solo en los humanos para que estos determinen la veracidad de las comunicaciones que reciben. Este ahora es un trabajo par la IA".