Más de 92.000 ciberataques camuflados tras falsas herramientas de IA detectados en 2024

Introducción

El auge de la inteligencia artificial (IA) y la proliferación de servicios asociados han transformado el panorama tecnológico, pero también han abierto nuevas vías de ataque para los ciberdelincuentes. Entre enero y principios de mayo de 2024, las soluciones de Kaspersky han identificado más de 92.000 ciberataques que empleaban la ingeniería social y el uso fraudulento de marcas de IA reconocidas como ChatGPT, Bard o Copilot para distribuir malware y comprometer sistemas empresariales y personales. Este fenómeno pone de relieve la sofisticación creciente de las campañas de phishing y malware, así como la necesidad de una respuesta estratégica por parte de los responsables de seguridad.

Contexto del Incidente

El contexto de este incremento en los ataques se enmarca en la popularización masiva de herramientas de IA en entornos corporativos y domésticos. Los atacantes han aprovechado el prestigio y la confianza que generan marcas como OpenAI, Google y Microsoft para engañar a los usuarios, haciéndoles creer que descargan aplicaciones legítimas de IA cuando, en realidad, instalan malware. Según el informe de Kaspersky, estas campañas han tenido especial incidencia en Europa y Latinoamérica, regiones donde el uso de asistentes basados en IA se ha disparado en el último año.

Detalles Técnicos

Las campañas detectadas han empleado múltiples vectores de ataque, destacando especialmente el phishing a través de correos electrónicos y páginas web clonadas. Las aplicaciones falsas de ChatGPT representaron el 49% de los ataques, seguidas de Bard (Google Gemini) y Copilot de Microsoft. Los archivos maliciosos distribuidos incluían troyanos, stealers y backdoors, empaquetados en instaladores aparentemente legítimos para Windows y Android.

En cuanto a las técnicas y tácticas observadas, los actores de amenaza han empleado TTPs alineadas con el framework MITRE ATT&CK, tales como:

– TA0001: Initial Access (Phishing, Drive-by Compromise)
– TA0002: Execution (User Execution, Malicious File)
– TA0005: Defense Evasion (Obfuscated Files or Information)
– TA0006: Credential Access (Credential Dumping)

Los indicadores de compromiso (IoC) más recurrentes han sido hashes de instaladores maliciosos (.exe, .apk), direcciones URL de descarga alojadas en dominios que suplantan a los originales y campañas de correo con asuntos relacionados con actualizaciones o lanzamientos de IA.

Se han identificado exploits conocidos distribuidos mediante frameworks como Metasploit y Cobalt Strike, especialmente para establecer conexiones persistentes y movimientos laterales en redes corporativas.

Impacto y Riesgos

El impacto de estas campañas es significativo: se estima que más del 60% de las infecciones han resultado en robo de credenciales, acceso no autorizado a redes empresariales y despliegue de ransomware. Según Kaspersky, los sectores más afectados han sido tecnología, finanzas y educación, con pérdidas económicas que superan los 25 millones de euros en los primeros cinco meses de 2024.

Los principales riesgos asociados incluyen:

– Compromiso de cuentas privilegiadas y servicios en la nube
– Exfiltración de datos sensibles y propiedad intelectual
– Interrupción de operaciones críticas mediante ransomware
– Sanciones regulatorias por incumplimiento de GDPR y NIS2, especialmente en empresas que no notifiquen los incidentes en los plazos establecidos

Medidas de Mitigación y Recomendaciones

Ante este escenario, los expertos recomiendan una serie de medidas proactivas:

– Verificar siempre la procedencia de las aplicaciones antes de la descarga, priorizando fuentes oficiales
– Desplegar soluciones EDR con capacidades de análisis de comportamiento y sandboxing
– Implementar autenticación multifactor (MFA) en todos los accesos críticos
– Formar de manera continua a empleados y usuarios en la detección de phishing y técnicas de ingeniería social
– Monitorizar de forma activa los IoC y actualizar las reglas de detección en SIEMs y sistemas de prevención de intrusiones (IDS/IPS)
– Revisar y reforzar los procedimientos de respuesta ante incidentes, incluyendo simulacros periódicos de phishing y ataques de malware

Opinión de Expertos

Según David Emm, principal Security Researcher en Kaspersky, “el uso de la IA como señuelo ha demostrado ser un vector de ataque extremadamente eficaz debido a la confianza que los usuarios depositan en estas marcas. Es fundamental que las organizaciones adopten un enfoque de cero confianza y refuercen tanto sus controles técnicos como la concienciación de los empleados”.

Por su parte, Juan Antonio Calles, CEO de Zerolynx, advierte: “Estamos viendo una profesionalización de las campañas de ingeniería social, con páginas y aplicaciones falsas prácticamente indistinguibles de las originales. Las empresas deben estar preparadas para una oleada de ataques cada vez más dirigidos y sofisticados”.

Implicaciones para Empresas y Usuarios

El incremento de estos ataques tiene implicaciones directas para la gestión del riesgo en las organizaciones. Las empresas que permiten el uso de aplicaciones de IA deben revisar sus políticas de seguridad y establecer listas blancas de software autorizado, además de monitorizar el tráfico saliente en busca de conexiones anómalas.

Para los usuarios finales, la recomendación es clara: nunca descargar aplicaciones de IA fuera de los portales oficiales y desconfiar de correos o mensajes que inciten a instalar nuevas versiones o funcionalidades de estos servicios.

Conclusiones

El uso fraudulento de la IA como cebo para distribuir malware es una tendencia al alza que exige una respuesta coordinada desde los departamentos de ciberseguridad. La combinación de medidas técnicas, formación y vigilancia activa será clave para mitigar el impacto de estas campañas y proteger tanto a empresas como a usuarios frente a los riesgos emergentes de la economía digital.

(Fuente: www.cybersecuritynews.es)