Daniel Púa, jefe de seguridad en Magnific: "El usuario de a pie debería estar preocupado porque el phishing se está refinando con IA"

  • Todo el mundo habla de la IA que encuentra vulnerabilidades ocultas de hace décadas

  • La amenaza real para el usuario de a pie es mucho más sencilla y ya está aquí

Estafador usando ordenador
Sin comentarios Facebook Twitter Flipboard E-mail
amparo-babiloni

Amparo Babiloni

Editora Senior - Tech
amparo-babiloni

Amparo Babiloni

Editora Senior - Tech

La IA está cambiándolo todo, también la ciberseguridad. El lanzamiento de Claude Mythos hace un par de meses hizo saltar las alarmas: la IA ya es capaz de encontrar decenas de vulnerabilidades que llevaban años ocultas. El miedo se ha convertido en el nuevo recurso de las empresas IA para anunciar sus nuevos modelos. La pregunta es cómo nos afecta esto a los simples mortales.

Estafas más sofisticadas. Para Daniel Púa, jefe de seguridad en Magnific (antes Freepik), el impacto está claro: "El usuario de a pie debería estar preocupado porque el phishing se está refinando con IA". A estas alturas "todos hemos recibido el típico phishing con faltas de ortografía, con casos de uso de bancos que no son los nuestros, que son muy fáciles de identificar". Sin embargo, con la IA estamos viendo como las estafas se están sofisticando y cada vez nos va a ser más complicado detectarlas.  

"Van a empezar a llegar llamadas con la voz de un familiar, videollamadas con el vídeo de un familiar y ahí es cuando se va a complicar la cosa"

Voces clonadas. "Van a empezar a llegar llamadas con la voz de un familiar, videollamadas con el vídeo de un familiar y ahí es cuando se va a complicar la cosa", alerta Daniel. Aunque aún no son el intento de estafa más común, las llamadas deepfake con voces clonadas que se hacen pasar por un familiar en apuros ya son un problema, hasta el punto de que la propia Google lo conoce y presentó una función para evitarlo

Siguiente paso: videollamadas. Tal y como alerta Daniel Púa, las videollamadas falsas suplantando a otra persona ya son una realidad. Por el momento hemos conocido casos que atacan a empresas, como el empleado que transfirió 25 millones de dólares en una videollamada en la que todos eran deepfakes menos él, o como arma política, pero es cuestión de tiempo que esta tecnología empiece a usarse contra los ciudadanos de a pie.

De las empresas al usuario final. Púa lo cuenta desde dentro de Magnific: "nosotros  tenemos ya muchísimos intentos de estafa haciéndose pasar por nuestro CEO, por WhatsApp, con audios y de todo". Y anticipa cómo escalará hacia el usuario particular: "una vez que ya se asienten en las empresas, que son como la mina de oro donde pueden explotarlo más, pasarán al siguiente, que es al usuario de a pie (...) al ser una estafa mucho más masiva ya no es un único objetivo, pero son cientos de miles de personas y alguno picará".

Cómo evitarlo. El consejo de Púa es tan sencillo como necesario: "todo el mundo debería tener una segunda vía de aprobación. Si viene un familiar y te pide algo extraño, confírmalo por otra vía. Por ejemplo si te ha llamado por teléfono, pues lo confirmas por WhatsApp". Los expertos en ciberseguridad recomiendan llevarlo un paso más allá y crear una contraseña familiar. Púa coincide: "En caso de que te esté pidiendo algo extraño, le dices: '¿cuál es nuestra palabra secreta?' Y te aseguras de que sea la persona correcta".

El discurso del miedo. Las empresas de IA están usando el miedo a la ciberseguridad como argumento de venta de sus últimos modelos. Daniel Púa no compra todo ese discurso: "se le ha dado mucho bombo. Sí que creo que es el siguiente paso en este avance que está viendo en la IA relacionado con seguridad, pero no creo que sea un cambio de paradigma como muchos están vendiendo". No cree que Claude Mythos haya sido un salto tan grande como nos han vendido y lo ilustra con una comparación muy clara: "si decimos que Opus 4.8 podía ser una navaja, Mythos a lo mejor es un machete. Es un poco más peligroso, pero el daño te lo podían hacer igual con los anteriores modelos". 

Ojo con el código abierto. Pero que no compre todo el discurso no significa que no haya peligro, hay un sector en el que sí lo es: los proyectos de código abierto. "Casi todas las vulnerabilidades que ha descubierto Mythos son en programas open source, con acceso al código. Ahí es donde sí que veo un cambio de paradigma gordo". Explica por qué: "una persona normal puede tardar días o semanas e incluso perderse en ese flujo y no encontrar la vulnerabilidad. En eso un agente trabaja muchísimo mejor porque puede seguir todo el flujo en segundos o minutos".

Imagen | Xataka con Magnific

En Xataka | Un desconocido te llama al móvil y cuelga antes de que puedas reaccionar. Lo peor que puedes hacer: devolver la llamada


Inicio