L'arribada de les festes de Nadal fa que es disparin tant les compres físiques com en línia. Segons un estudi de Deloitte fins a un 25 % de les compres que es van fer durant la campanya de l'any passat van ser per internet. Però l'auge de la cara fosca de la intel·ligència artificial (IA) provoca que cada cop s'hagin de prendre més mesures a l'hora d'executar aquest tipus de compres.
"La IA suposa una revolució en molts àmbits i també, per descomptat, afecta el món de les ciberestafes. Fa que els atacs siguin més sofisticats, ja que els que els cometen poden redactar un text més personalitzat amb l'objectiu de suplantar la identitat i fer pesca de credencials (el conegut com a phishing en anglès), crear més virus en nous llenguatges que faciliten l'entrada de nous delinqüents, demanar diners amb noves tècniques, com l'hipertrucatge (deep fake en anglès) —que són tècniques que combinen, reemplacen i superposen imatges, videoclips i àudios per crear arxius multimèdia falsos que semblin autèntics i reals—, o adaptar de manera òptima les seves estratègies d'atac en temps real", adverteix Laia Subirats, especialista en IA i professora dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la UOC.
Instituts com l'INCIBE, detalla l'especialista, donen una sèrie de consells bàsics a l'hora de comprar, com ara anar amb compte amb els premis que s'ofereixen via correu electrònic, SMS o WhatsApp; buscar informació del lloc web on es vol comprar; comprovar que hi hagi diverses opcions de pagament segures, o fer un seguiment dels moviments de les targetes bancàries.
A més, l'Agència de Ciberseguretat de Catalunya també ha impulsat la pàgina Internet Segura, que té com a objectiu garantir una societat de la informació segura, mentre que la National Cybersecurity Alliance ofereix un conjunt d'eines útils, com activar les actualitzacions automàtiques de programari o evitar fer compres quan estàs connectat a una xarxa de wifi pública. A escala internacional, també hi ha la Interpol, que dona consells útils amb la iniciativa #ElPróximoPuedeSerUsted.
Però, què s'ha de fer si un ciutadà pateix un ciberatac tant amb IA com sense? "Si una targeta de crèdit està afectada, el primer que cal fer és cancel·lar-la", explica l'especialista. A més, hi ha el centre CATALONIA-CERT, que dona resposta a incidents de ciberseguretat a Catalunya i proporciona un punt de contacte fiable per a la comunicació i la gestió de ciberatacs. En l'àmbit de la resta d'Espanya hi ha l'Institut Nacional de Ciberseguretat.
A banda de les compres, hi ha altres aspectes en què la ciutadania també ha de mantenir la guàrdia per evitar ser víctima de ciberestafes amb IA. En aquest sentit, l'experta recorda que a Espanya ja hi ha persones que les han patit: "L'Institut Nacional de Ciberseguretat (INCIBE) va alertar que ciberdelinqüents es feien passar per l'Agència Tributària, enviaven una notificació que amenaçava amb sancions, obligava a descarregar-se arxius que contenien codi maliciós i infectaven el dispositiu que s'estigués fent servir", recorda.
També hi ha casos més recents com que ciberdelinqüents aprofiten que usuaris de la xarxa X demanen ajuda públicament per estafar-los, o estafes amb codis QR en bars o restaurants (el que es coneix com a qrishing). "Per això és tan important seguir les tendències, notícies i recomanacions de ciberseguretat de les diferents agències i l'ús de bones pràctiques per part de tota la ciutadania", insisteix Subirats.
Però no tan sols la ciutadania ha d'estar alerta, recorda, ja que molts ciberatacs fets amb IA tenen com a punt de mira les institucions. Segons Subirats, perquè aquestes puguin detectar vulnerabilitats han de tenir polítiques de prevenció i detecció de ciberestafes, com ara el monitoratge de recursos i trànsit, la detecció d'anomalies, fer auditories, actualitzar el programari de manera freqüent o fomentar el pirateig ètic (ethical hacking en anglès). "Per combatre ciberatacs amb IA, paradoxalment és molt útil utilitzar les darreres tècniques d'IA", explica l'especialista.
La feina de les empreses
A Catalunya la xifra de ciberatacs (tant amb IA com sense) el 2022 va ser de 4.424 milions, vint cops superior a la del 2021. "Amb aquest volum d'atacs, és vital que les empreses inverteixin en professionals experts en ciberseguretat per protegir-se i que formin tot el seu personal perquè adopti una bona cultura de seguretat a la institució", alerta la professora de la UOC.
En aquest sentit, recorda que el setembre del 2022, l'European Union Agency for Cybersecurity (ENISA) va publicar un marc de perfils de ciberseguretat que haurien de tenir les empreses. En el cas de les petites i mitjanes empreses, la patronal PIMEC també dona recomanacions sobre protocols, serveis, assegurances i eines de ciberseguretat. "És crucial estar actualitzat amb els canvis de regulació, especialment aquelles organitzacions de sectors considerats crítics, com ara el sector sanitari, com publica TIC Salut Social al seu web", conclou l'experta.
