¡Feliz y Segura Navidad!

Siempre en estas fechas previas a navidad las compras aumentan y como ha sido tendencia las transacciones en línea lo hacen a la par. Históricamente también la delincuencia afila colmillos y sale a la caza de incautos a través de diversos tipos de engaños para estafarlos y hacerse de sus fondos. 

Este tipo de intentos de fraude tradicionalmente se presenta en términos de phishing (email de engaño para capturar datos o inducir a acciones que comprometan sistemas de víctima) u otro tipo de pieza tecnológica basado en ingeniería social. La ingeniería social (concepto puesto en escena  por el desaparecido mítico hacker Kevin Mitnick) es en buen chileno el Cuento del tío.

Técnicamente estas son técnicas de persuasión basadas en diferentes tretas psicológicas a la que diferentes personas tienden ser más o menos vulnerables. Las posibilidades son amplias, se puede recurrir al sentido de autoridad de un jefe falso o institución policial o gubernamental, a la intimidación, consenso, sentido de escases (oferta limitada), familiaridad con la víctima, confianza y sentido de urgencia por actuar ahora sino caer en desgracia.

Seguramente el lector ha recibido más de una vez correos de este tipo, enviado por bancos del cual muchas veces no son ni siquiera clientes, escritos con gramática descuidada y faltas de ortografía. Pues bien, ¡Mucho Cuidado!, las condiciones han cambiado.

Con el advenimiento de las nuevas técnicas de IA generativas (Dall-e, ChatGPT, por nombrar un par popular), el mundo ha recibido herramientas disruptivas que son capaces de producir imágenes indistinguibles muchas veces de las reales, audio imitando a personas con solo muestras de segundos de la voz original y texto de alta calidad en cualquier idioma.

El abanico de herramientas potenciales futuras aún está en desarrollo y en la imaginación de los ingenieros que se adaptan a estas nuevas condiciones de trabajo con artefactos más competentes. Lamentablemente esta navaja tiene doble filo, que va desde  la creación de contenido falso de alta calidad para producir Fake News con todas las repercusiones sociales que puede  tener.

Ahora los delincuentes podrán transformar sus burdos phishing en excelente Spear Phishings, ¿qué es esto?, correos engañosos mejorados en base al conocimiento de la víctima, además estarán bien escritos (gramatical y ortográficamente) debido al uso de poderosos grandes modelos de lenguajes como GPT, LLaMa-X, entre otros.

Usted se preguntará, pero como obtendrán mis datos, mi nombre, RUT, dirección, preferencias comerciales y sociales, mis redes de amigos. Pues bien, todo está ahí, gracias a un descuidado manejo histórico de datos privados en Chile y al uso de redes sociales  sin muchas consideraciones de resguardo de privacidad, los datos están disponibles y pueden ser recuperados sin mucho esfuerzo usando algunas técnicas de Inteligencia de Fuentes Abiertas (OSINT).

En la UdeC hemos experimentado la generación de mensajes de phishing mejorados usando estas prácticas y los resultados son atemorizantes, esto es, producen correos de engaños muy creíbles. Ahora bien, el lector reflexionará sobre la complejidad de esto, y pondrá sus dudas sobre e riesgo real de esto, apelando a que  esto puede ser caro tecnológicamente y la respuesta es sí, en general este tipo de tecnologías son costosas debido a que son intensivas en cómputo, pero detrás hay dinero.

Hace muchos años que el cibercrimen ha evolucionado y madurado hacia redes internacionales y organizadas que buscan la monetización de sus ataques y detrás de estos fraudes hay ganancia, por lo cual seguramente estas tecnologías de engaño madurarán como lo han hecho algunos caballos de batalla de los cibercriminales como los ransomware (secuestro criptográfico de datos, para el cual se pide recompensa) que hoy por hoy se ofrecen como servicios tercerizados a delincuentes menos calificados (RaaS).

Entonces el llamado es a que seamos precavidos y desconfiados. Los consejos siguen siendo los mismos año tras año para estas festividades: usar conexiones seguras para sus transacciones  (No WiFi públicas en lo posible), verificar legitimidad de sitios de compras, chequear certificados conexión segura  «https://…», usar medios de pago más seguros (tarjeras de crédito pues difieren el pago y tienen seguros) y plataformas reconocidas de pago en línea, mantener actualizado su sistema, revisar cuentas bancarias por cobros extraños, usar  contraseñas robustas y ahora con más detenimiento debido a todo lo que hemos conversado:  Sea escéptico sobre ofertas muy atractivas,  limite la información privada en redes sociales, e infórmese sobre campañas de phishing u otro tipo de fraude digital (https://www.csirt.gob.cl/).

Que tenga una Feliz y segura Navidad!!