AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Ciberataques con Phishing Avanzado: El Uso de Modelos de Lenguaje Genera Correos Más Creíbles

admin

#### Introducción

El panorama de las amenazas cibernéticas evoluciona constantemente y, últimamente, el phishing ha experimentado una sofisticación sin precedentes. Investigaciones recientes han detectado campañas de phishing en las que los atacantes emplean modelos de lenguaje de gran escala (LLMs, por sus siglas en inglés) para generar correos electrónicos con asuntos realistas y mensajes altamente creíbles. Este salto cualitativo en la elaboración de correos maliciosos representa un desafío adicional para los equipos de ciberseguridad y pone de manifiesto la urgente necesidad de adaptar las defensas tradicionales ante los nuevos vectores de ataque.

#### Contexto del Incidente o Vulnerabilidad

Tradicionalmente, el phishing dependía de mensajes con errores gramaticales o de ortografía que facilitaban a los equipos de seguridad y a los usuarios la identificación de intentos de fraude. Sin embargo, la irrupción de herramientas basadas en inteligencia artificial, especialmente LLMs como GPT-4, ha permitido a los cibercriminales automatizar la generación de mensajes perfectamente redactados, en varios idiomas y con una personalización avanzada. Este cambio ha incrementado tanto la tasa de apertura de los correos maliciosos como el número de víctimas que caen en la trampa.

Las campañas detectadas en el segundo trimestre de 2024 muestran un notable aumento del uso de estas técnicas, afectando principalmente a empresas del sector financiero, tecnológico y de servicios profesionales en Europa y Norteamérica.

#### Detalles Técnicos

Los ataques identificados se caracterizan por el uso de asuntos plausibles y mensajes que imitan con precisión tanto el tono como el formato habitual de la comunicación empresarial. Los modelos de lenguaje, entrenados con grandes cantidades de correos legítimos, permiten a los atacantes generar mensajes personalizados en función del cargo, departamento o incluso proyectos en los que está involucrado el destinatario.

**CVE y vectores de ataque:**
Aunque el phishing no suele asociarse a vulnerabilidades específicas del software (CVE), el uso de enlaces a sitios fraudulentos que explotan vulnerabilidades conocidas, como CVE-2023-23397 (Outlook), sigue siendo frecuente. Los mensajes incluyen enlaces a páginas de login falsificadas o archivos adjuntos maliciosos (por ejemplo, payloads de Emotet, QBot o incluso scripts de PowerShell ofuscados).

**TTPs (MITRE ATT&CK):**
– **T1566.001** (Phishing: Spearphishing Attachment)
– **T1566.002** (Phishing: Spearphishing Link)
– **T1204.002** (User Execution: Malicious File)
– **T1078** (Valid Accounts, tras comprometer credenciales)

**Herramientas y frameworks:**
Se han observado casos en los que los atacantes integran payloads generados con Metasploit y Cobalt Strike, especialmente en campañas dirigidas a altos directivos (CEO fraud). Los IoC incluyen dominios recién registrados, direcciones IP de países con baja reputación y archivos adjuntos con hashes sospechosos.

#### Impacto y Riesgos

El impacto potencial de estas campañas es elevado. Según datos de Proofpoint y el último informe de ENISA, el 67% de los incidentes de brechas de seguridad en el primer semestre de 2024 tuvieron su origen en phishing. El coste medio de una brecha asociada a phishing en la UE supera los 4 millones de euros, sin contar sanciones regulatorias bajo el GDPR y la inminente transposición de la directiva NIS2.

El principal riesgo radica en el robo de credenciales, la instalación de malware y el movimiento lateral dentro de la red corporativa. Además, la capacidad de los LLMs para adaptar el lenguaje y la terminología técnica dificulta la detección automatizada mediante filtros tradicionales.

#### Medidas de Mitigación y Recomendaciones

Entre las medidas recomendadas destacan:

– **Formación continua** para empleados, con simulacros de phishing que incluyan ejemplos generados por IA.
– **Implementación de autenticación multifactor (MFA)** para todos los accesos críticos.
– **Despliegue de soluciones avanzadas de EDR/XDR** con análisis heurístico y detección basada en comportamiento.
– **Actualización de firmas y reglas de filtrado** para incluir IoCs específicos de estas campañas.
– **Monitorización de actividad anómala** en correo y acceso a sistemas corporativos.
– **Validación de enlaces y adjuntos** mediante sandboxing en tiempo real.

#### Opinión de Expertos

Expertos como José María Martínez, CISO de una entidad financiera española, advierten: “El auge de los modelos de lenguaje en manos de los atacantes marca un punto de inflexión. Ya no basta con buscar errores gramaticales; necesitamos herramientas que analicen el contenido semántico y la intención”.

Por su parte, Pablo Rodríguez, analista del SOC de una consultora internacional, añade: “La velocidad a la que los atacantes pueden personalizar campañas con IA supera la capacidad de respuesta de muchos sistemas de defensa tradicionales. La combinación de inteligencia artificial defensiva y concienciación del usuario es clave”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, este nuevo escenario implica reforzar políticas de seguridad, invertir en tecnologías de detección avanzada y revisar protocolos de respuesta ante incidentes. Las organizaciones sujetas a GDPR y NIS2 deben extremar precauciones, ya que la exposición a sanciones por brechas derivadas de phishing aumenta significativamente.

Para los usuarios, la recomendación es doble: desconfiar incluso de correos aparentemente legítimos y verificar siempre la autenticidad de los remitentes y enlaces, especialmente en comunicaciones sobre finanzas, recursos humanos o TI.

#### Conclusiones

El uso de modelos de lenguaje de gran escala por parte de los ciberdelincuentes está elevando el nivel de sofisticación de las campañas de phishing, erosionando las barreras tradicionales de defensa. Ante este nuevo paradigma, las organizaciones deben acelerar la adopción de tecnologías basadas en IA para la detección, reforzar la formación del personal y actualizar sus estrategias de respuesta para minimizar el riesgo y el impacto de estos ataques cada vez más creíbles y personalizados.

(Fuente: www.darkreading.com)