La Inteligencia Artificial proporcionó “esteroides” al phishing. Gracias a esta herramienta digital, un delincuente puede realizar al 100 por ciento una campaña completa en dos o tres días, que puede ser hasta 70 por ciento más eficaz que las técnicas anteriores, al implementar el llamado “spear phishing” o “pesca con arpón”.
Sin embargo, las campañas masivas de phishing siguen más vigentes que nunca, aprovechando momentos de interés de la población sobre eventos específicos, por ejemplo, grandes competencias deportivas donde ofrecen boletos de acceso bajo condiciones increíbles o “avisos” bancarios que sólo encubren intenciones de fraude.
Al respecto, Sebastián Russo, director de Ingeniería de Fortinet México, señaló en entrevista con ConsumoTIC, que ahora la delincuencia cuenta con herramientas de Inteligencia Artificial disponibles en la dark web que incluso se venden como software como servicio, las cuales le permiten dirigir el phishing a individuos en particular.
De hecho, el ransomware y el phishing siguen en el número uno y dos de los delitos cibernéticos más recurrentes, de acuerdo al reporte de Ciberdelincuencia de Fortinet 2025, donde se señala que el año pasado tuvieron lugar 325 mil millones de intentos de ciberataque a toda clase de industrias.
A diferencia del phishing tradicional, donde el delincuente tenía que pensar en un mensaje, crear toda una idea, revisar a potenciales víctimas, evaluar las posibles “ganancias” que traían las respuestas recibidas e ir adelante con contactos específicos, hoy la IA lo hace todo por sí sola.
De esta manera, el estudio, preparación y elaboración de mensajes que antes le llevaba tres meses al delincuente, con la tecnología lo hace en uno o dos días, mientras que la evaluación de los resultados antes de propiamente recibir ganancias, se redujo de semanas a horas.
El “spear phishing” consiste en el perfilamiento personalizado de la potencial víctima, a partir de la información que comparte en sus redes sociales e interacciones públicas, lo cual permite que los mensajes sean más creíbles, completos.
“Y cuando ya aplican esta técnica en el entorno, trabajo, contexto, contactos, gente que normalmente intercambiaría correos contigo, con su lenguaje específico y detalles de la relación laboral, es mucho más probable que tú creas que es cierto y esa es la razón por la que se ha vuelto más peligroso”.
En el enfoque laboral, los delincuentes se fijan mucho en la organización donde la víctima labora, su cargo, su perfil profesional, la interacción con otros miembros de la organización, clientes y proveedores y de ahí se evalúa su potencial como víctima de este delito.
Ante ello, el especialista insistió en fortalecer la ciberseguridad con Inteligencia Artificial, porque de otra forma los delincuentes probablemente ganen, pero eso no elimina la necesidad de que las personas sean cada vez más cuidadosas.
“La concientización sigue siendo parte fundamental de todo esto; es necesario cuidar qué posteas en redes sociales; qué tan abierto tienes tu perfil. Cada uno debemos preguntarnos si la gente que tengo como contacto realmente es contacto personal porque la conozco”.
Hay que ser cuidadoso en la cantidad de información que uno decide poner a disposición de los contactos y más allá de la paranoia, tener en cuenta que esto puede ocurrir “y si posteas hacia un grupo de gente descontrolado: ‘soy tal, me gustan tales o cuales cosas, voy a hacer esto’ le estás dando en bandeja a los delincuentes información que ellos pueden usar para la extorsión o el robo”.
De ahí que debemos ser conscientes de nuestra huella digital, porque de lo contrario la persona podría estar poniendo a disposición de la delincuencia información con la que pueden generar un perfilamiento y realizar este “spear phishing” que es más difícil de detectar.
Seguramente seguirán existiendo las campañas masivas, pero “hoy es más alta la probabilidad de éxito, si saben quién eres, en qué trabajas, qué servicios consumes porque entonces, lo que sea que te puedan enviar como campaña de phishing, ya está amarrado a una serie de cosas personales, que le van a dar mucha más probabilidad de éxito al ataque porque es más verosímil”.
C$T-GM
