La IA generativa ha supuesto una revolución social en todos los aspectos de la vida, también -y desgraciadamente- en el campo de la delincuencia y, más concretamente, en el de la ciberdelincuencia, con trampas que nos llegan vía mensajes de correo electrónico mucho más elaborados y, por lo tanto, verosímiles que en el pasado, cuando en muchos casos recibíamos burdas imitaciones de mensajes corporativos o de bancos, con grandes errores lingüísticos que delataban su origen fraudulento.
La IA permite la composición correcta de textos en cualquier lengua, con lo que facilita el engaño, pero también puede ir más allá. La próxima tendencia puede ser el neurophishing, que Er. Kritika (una investigadora independiente india en el terreno de la ciberseguridad) describe en el blog de ciberseguridad de ISACA.
Al igual que el neuromarketing se basa en estudios con indicadores biométricos para ajustar las campañas de marketing de manera que estas apelen a las emociones y consigan el mayor y mejor resultado posibles, el neurophishing también se basa en indicadores biométricos a tiempo real para conseguir el máximo efecto sobre las víctimas.
El phishing se basa, cada vez más, en la presión emocional; recibimos un mensaje de correo indicando que debemos hacer una transferencia urgente y, seguidamente, podemos recibir un SMS, o una petición de videoconferencia, todo ello preparado con IA y deepfakes, procedentes supuestamente de un superior en el escalafón de la empresa, que nos apresa a actuar.
Llevados por el temor a las consecuencias de no hacer lo que se nos pide, rápidamente alejamos cualquier duda de nuestro cerebro, cayendo en la trampa y realizando la operación que nos solicitan, para descubrir a la mañana siguiente, al cabo de unas horas, o unos días, que hemos sido víctimas de una estafa.
Lo que hace el neurophishing es añadir a la panoplia ya existente de ayudas de la IA a la comisión del delito, las lecturas de parámetros biométricos en tiempo real, lo que permite variar la táctica del engaño sobre la marcha para ejercer mayor presión psicológica sobre la víctima.
Un ejemplo de uso serían las pulseras de actividad que miden el ritmo cardíaco, y que muchos de nosotros llevamos puestas a diario. Hackear el software para poder recibir las lecturas permite conocer si el destinatario del phishing está tranquilo o, al contrario, estresado y, por lo tanto, modular la presión que se ejerce sobre él acorde a dichos datos.
Otro ejemplo de uso sería la lectura de los pequeños gestos faciales que denotan ansiedad o preocupación, durante una videoconferencia o mediante el hackeo del sistema operativo para activar y controlar remotamente la webcam del equipo.
Por el momento, y al menos hasta donde yo sé, el texto de Kritika es meramente teórico, es decir, una aproximación a lo que podríamos vivir más adelante, pero que no evidencia nada que se haya hallado “in the wild” por separado (por ejemplo, el hackeo de apps de salud), pero para lo que deberíamos empezar a prepararnos por si acaso nos llega en conjunto.
Y esa preparación pasa por denegar toda la información biométrica que podamos a los ciberdelincuentes: en cuanto nos llegue una petición para realizar una acción comprometida en nuestra empresa que no podamos comprobar fehacientemente (por ejemplo, mediante una llamada telefónica a nuestro jefe directo), quitarnos la pulsera de actividad/smartwatch, y asegurarnos que la webcam está tapada y los micros del sistema silenciados.
Otra acción que podemos llevar a cabo es la de salir de la habitación donde tenemos el ordenador, sin llevar ningún dispositivo electrónico con nosotros, y sopesar los siguientes pasos en una habitación en la que no puedan espiarnos remotamente mediante medidas electrónicas.
