La astucia humana supera a la IA en la creación de correos de phishing - por ahora

En medio de todo el revuelo alrededor de ChatGPT y otras aplicaciones de inteligencia artificial, los ciberdelincuentes ya han comenzado a utilizar la IA para generar correos electrónicos de phishing. Por ahora, los humanos todavía son más hábiles en idear ataques exitosos de phishing, pero la brecha se está cerrando, según el nuevo informe del entrenador de seguridad Hoxhunt, publicado el miércoles.

La astucia humana supera a la IA en la creación de correos de phishing - por ahora - Seguridad | Imagen 1 Newsmatic

Índice de Contenido
  1. Campañas de phishing creadas por ChatGPT vs. humanos
    1. Los resultados de la simulación de phishing dirigida por Hoxhunt
    2. Las defensas actuales de ciberseguridad aún pueden cubrir ataques de phishing de IA
  2. Consejos de seguridad para TI y usuarios
    1. Para TI y seguridad
    2. Para usuarios

Campañas de phishing creadas por ChatGPT vs. humanos

Hoxhunt comparó las campañas de phishing generadas por ChatGPT con aquellas creadas por seres humanos para determinar cuál tenía más posibilidades de engañar a una víctima desprevenida.

Para llevar a cabo este experimento, la empresa envió simulaciones de phishing diseñadas o por ingenieros sociales humanos o por ChatGPT a 53,127 usuarios en 100 países. Los usuarios recibieron la simulación de phishing en sus bandejas de entrada como recibirían cualquier tipo de correo electrónico. La prueba se configuró para provocar tres posibles respuestas:

  1. Éxito: El usuario informa con éxito la simulación de phishing como maliciosa a través del botón de informe de amenazas de Hoxhunt.
  2. Falla: El usuario no interactúa con la simulación de phishing.
  3. Fracaso: El usuario cae en la trampa y hace clic en el enlace malicioso en el correo electrónico.

Los resultados de la simulación de phishing dirigida por Hoxhunt

Al final, los correos electrónicos de phishing generados por humanos atraparon a más víctimas que los creados por ChatGPT. Específicamente, la tasa de personas que cayeron en los mensajes generados por humanos fue del 4.2%, mientras que la tasa para los generados por IA fue del 2.9%. Esto significa que los ingenieros sociales humanos superaron a ChatGPT en aproximadamente un 69%.

Un resultado positivo del estudio es que el entrenamiento en seguridad puede resultar efectivo para frustrar ataques de phishing. Los usuarios con una mayor conciencia de seguridad eran mucho más propensos a resistir la tentación de interactuar con correos electrónicos de phishing, ya sean generados por humanos o por IA. Los porcentajes de personas que hicieron clic en un enlace malicioso en un mensaje disminuyeron de más del 14% entre los usuarios menos capacitados a entre el 2% y el 4% entre aquellos con una mayor capacitación.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Los resultados también variaron según el país:

  • Estados Unidos: El 5.9% de los usuarios encuestados fueron engañados por correos electrónicos generados por humanos, mientras que el 4.5% fue engañado por mensajes generados por IA.
  • Alemania: El 2.3% fue engañado por humanos, mientras que el 1.9% fue engañado por texto generado por IA.
  • Suecia: El 6.1% fue engañado por humanos, con un 4.1% engañado por IA.

Las defensas actuales de ciberseguridad aún pueden cubrir ataques de phishing de IA

Aunque los correos electrónicos de phishing creados por humanos fueron más convincentes que los de la IA, este resultado es fluido, especialmente a medida que ChatGPT y otros modelos de IA mejoran. La prueba en sí se realizó antes del lanzamiento de ChatGPT 4, que promete ser más astuto que su predecesor. Las herramientas de IA seguramente evolucionarán y representarán una mayor amenaza para las organizaciones por parte de los ciberdelincuentes que las utilizan con fines maliciosos.

Por otro lado, proteger a su organización de correos electrónicos de phishing y otras amenazas requiere las mismas defensas y coordinación, ya sea que los ataques sean creados por humanos o por IA.

“ChatGPT permite a los delincuentes lanzar campañas de phishing perfectamente redactadas a gran escala, y aunque eso elimina un indicador clave de un ataque de phishing: las malas gramáticas, otros indicadores son fácilmente observables para el ojo entrenado”, dijo el CEO y cofundador de Hoxhunt, Mika Aalto. “Dentro de su estrategia integral de ciberseguridad, asegúrese de centrarse en su personal y su comportamiento de correo electrónico, porque eso es lo que están haciendo nuestros adversarios con sus nuevas herramientas de IA.

“Incorpore la seguridad como una responsabilidad compartida en toda la organización con una capacitación continua que permita a los usuarios detectar mensajes sospechosos y los recompense por informar amenazas hasta que la detección de amenazas humanas se convierta en un hábito”.

Consejos de seguridad para TI y usuarios

En ese sentido, Aalto ofrece los siguientes consejos.

Cómo proteger tu computadora de los virus: métodos y consejos

Para TI y seguridad

  • Requiera autenticación de dos factores o autenticación de múltiples factores para todos los empleados que accedan a datos sensibles.
  • Brinde a todos los empleados las habilidades y la confianza para informar un correo electrónico sospechoso; dicho proceso debe ser sencillo.
  • Proporcione a los equipos de seguridad los recursos necesarios para analizar y abordar los informes de amenazas de los empleados.

Para usuarios

  • Pase el cursor sobre cualquier enlace en un correo electrónico antes de hacer clic en él. Si el enlace parece fuera de lugar o no está relacionado con el mensaje, informe el correo electrónico como sospechoso al soporte de TI o al equipo de asistencia técnica.
  • Analice detenidamente el campo del remitente para asegurarse de que la dirección de correo electrónico contenga un dominio comercial legítimo. Si la dirección apunta a Gmail, Hotmail u otro servicio gratuito, es probable que sea un correo electrónico de phishing.
  • Confirme un correo electrónico sospechoso con el remitente antes de actuar en consecuencia. Utilice un método distinto al correo electrónico para ponerse en contacto con el remitente acerca del mensaje.
  • Piense antes de hacer clic. Los ataques de phishing ingenierizados socialmente intentan crear una falsa sensación de urgencia, instando al destinatario a hacer clic en un enlace o interactuar con el mensaje lo más rápido posible.
  • Preste atención al tono y la voz de un correo electrónico. Por ahora, los correos electrónicos de phishing generados por IA se escriben de manera formal y forzada.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a La astucia humana supera a la IA en la creación de correos de phishing - por ahora , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.