AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ciberdelincuentes usan IA generativa para crear webs de phishing que suplantan a agencias brasileñas

admin

Introducción

En los últimos meses, los investigadores en ciberseguridad han detectado una nueva tendencia alarmante en el ámbito del phishing: el uso de herramientas legítimas de inteligencia artificial generativa para crear sitios web fraudulentos de alta calidad. Plataformas como DeepSite AI y BlackBox AI, diseñadas originalmente para facilitar la creación de páginas web profesionales, están siendo explotadas por actores maliciosos para clonar portales oficiales de agencias gubernamentales brasileñas. Este fenómeno representa un salto cualitativo en la sofisticación de las campañas de phishing, con importantes implicaciones para la comunidad de ciberseguridad y los profesionales responsables de la protección de infraestructuras críticas.

Contexto del Incidente

La campaña, atribuida a ciberdelincuentes con motivaciones económicas, tiene como objetivo principal la suplantación de entidades estatales brasileñas, entre ellas el Departamento de Tránsito (DETRAN), la Receita Federal y organismos relacionados con servicios ciudadanos. La utilización de IA generativa permite a los atacantes replicar con extrema fidelidad los diseños, textos y hasta los flujos de interacción de los portales gubernamentales, dificultando la identificación de los sitios fraudulentos tanto para usuarios como para sistemas de protección tradicionales.

Los analistas han observado un incremento del 32% en el número de dominios maliciosos registrados con nombres similares a los de las entidades gubernamentales brasileñas en el primer trimestre de 2024. Además, se estima que más de 250.000 usuarios han visitado al menos una de estas páginas de phishing durante el periodo de actividad detectado.

Detalles Técnicos

Las herramientas DeepSite AI y BlackBox AI permiten a los atacantes crear réplicas precisas de páginas web a partir de simples descripciones textuales o mediante la importación de capturas de pantalla. Estas plataformas generan automáticamente el código HTML, CSS y JavaScript necesario para clonar portales legítimos, incluidos formularios de autenticación, banners y elementos interactivos.

En cuanto a los vectores de ataque, la campaña se basa en el envío masivo de correos electrónicos de phishing (MITRE ATT&CK T1566.001), mensajes SMS (smishing) y la manipulación de resultados en motores de búsqueda (SEO poisoning) para dirigir el tráfico hacia los sitios fraudulentos. Los correos suelen contener enlaces que simulan ser notificaciones oficiales o requerimientos urgentes de verificación de datos personales.

Respecto a los identificadores de compromiso (IoC), los analistas han detectado patrones comunes en los nombres de dominio, como el uso de guiones bajos, errores ortográficos intencionados y dominios de nivel superior poco habituales (.top, .xyz, .online). Además, se han identificado certificados SSL autofirmados o de proveedores gratuitos, y direcciones IP asociadas a servicios de alojamiento en la nube con alta rotación.

Hasta la fecha, no se ha publicado un CVE específico para este tipo de ataques, dado que explotan la ingeniería social y la capacidad de clonado web más que una vulnerabilidad técnica concreta. Sin embargo, la campaña encaja en los TTPs del framework MITRE ATT&CK, especialmente en las categorías Initial Access (Phishing) y Credential Access (Phishing for Information).

Impacto y Riesgos

El principal riesgo reside en la obtención de credenciales de acceso a servicios gubernamentales, datos fiscales y números de identificación personal, que pueden ser utilizados para fraudes fiscales, transferencias ilícitas de fondos o venta en mercados clandestinos. Organizaciones gubernamentales y empresas con operaciones en Brasil están especialmente expuestas, pues la suplantación de identidad puede derivar en pérdidas económicas, sanciones regulatorias y daño reputacional.

Según estimaciones de los investigadores, el impacto económico potencial supera los 2 millones de dólares en fraudes directos y costes asociados a la remediación. Además, los incidentes pueden desencadenar obligaciones de notificación bajo normativas como el GDPR europeo o la Ley General de Protección de Datos brasileña (LGPD).

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, se recomienda a las organizaciones implementar filtros avanzados de correo electrónico con capacidades de análisis de enlaces y adjuntos, monitorización continua de registros DNS en busca de dominios similares y despliegue de soluciones de detección de phishing basadas en IA. Los analistas SOC deben actualizar sus listas de IoC y reforzar la formación en concienciación para empleados y usuarios finales.

Asimismo, es fundamental emplear autenticación multifactor en todos los servicios críticos y monitorizar accesos anómalos a cuentas. Los equipos de respuesta ante incidentes deben estar preparados para activar procedimientos de contención ante la detección de credenciales comprometidas y establecer canales de comunicación oficiales para alertar a los usuarios sobre campañas activas.

Opinión de Expertos

Carlos Andrade, CISO en una consultora internacional, advierte: “La utilización de IA generativa en campañas de phishing marca un antes y un después en el nivel de automatización y realismo de los ataques. Ya no basta con confiar en la apariencia visual para discernir entre páginas legítimas y falsas. Es imprescindible reforzar los controles técnicos y educar al usuario”.

Por su parte, Ana Romero, analista de amenazas, señala: “Estamos viendo cómo los atacantes acortan drásticamente los ciclos de preparación y despliegue de campañas de phishing. Gracias a la IA, pueden crear cientos de variantes en cuestión de minutos, adaptándose dinámicamente a los mecanismos de defensa”.

Implicaciones para Empresas y Usuarios

Las empresas que operan en Brasil o mantienen relaciones con organismos oficiales deben revisar sus estrategias de defensa frente a phishing, priorizando la protección de credenciales y la detección proactiva de dominios fraudulentos. Los usuarios finales, por su parte, deben extremar la precaución ante comunicaciones inesperadas que soliciten datos personales o acceso a servicios gubernamentales.

En el contexto de regulaciones como el GDPR y la inminente directiva NIS2, la notificación ágil de incidentes y la prevención de fugas de información adquieren una importancia crítica para evitar sanciones y garantizar la continuidad operativa.

Conclusiones

El uso de inteligencia artificial generativa para clonar sitios web legítimos representa un desafío de primer orden para la ciberseguridad corporativa y gubernamental. Frente a esta nueva ola de ataques, la combinación de tecnología avanzada, vigilancia continua y formación de usuarios es clave para reducir la superficie de exposición y proteger activos críticos.

(Fuente: feeds.feedburner.com)