Cloudflare disipa el miedo a la IA generativa: así es como protege las bandejas de entrada contra el phishing creado con IA

El correo electrónico sigue siendo el vector de ataque más utilizado por los ciberdelincuentes para intentar vulnerar o extorsionar a las organizaciones. La frecuencia con la que se utiliza este método de comunicación empresarial hace que los ataques de phishing sigan muy presentes. A medida que han ido evolucionando las herramientas al alcance de los atacantes, también lo han hecho las formas en que estos se han dirigido a los usuarios eludiendo los sistemas de protección de seguridad.

El lanzamiento de varios modelos de lenguaje de gran tamaño (LLM) creados con inteligencia artificial (IA) ha iniciado una carrera desenfrenada por descubrir aplicaciones novedosas basadas en las capacidades de la IA generativa, al tiempo que ha acaparado la atención de los investigadores de seguridad. Una aplicación de esta capacidad es la creación de contenido de ataques de phishing.

El éxito del phishing depende de que el atacante parezca un usuario auténtico. A lo largo de los años, hemos observado dos formas diferenciadas de autenticidad: autenticidad visual y autenticidad organizacional. Los ataques visualmente auténticos utilizan logotipos, imágenes y elementos similares para generar confianza. En cambio, las campañas organizacionalmente auténticas utilizan la dinámica empresarial y las relaciones sociales para lograr el éxito. Los atacantes pueden usar los LLM para que sus correos electrónicos parezcan más auténticos de distintas formas. Una técnica habitual es que los atacantes utilicen los LLM para traducir y revisar los correos electrónicos que han escrito en mensajes más convincentes superficialmente. Los ataques más sofisticados combinan los LLM con datos personales obtenidos de cuentas vulneradas para escribir mensajes personalizados y auténticos de cara a la organización.

Por ejemplo, WormGPT puede recrear un correo electrónico mal redactado para mejorar la gramática, la fluidez y la voz. El resultado es un mensaje fluido y bien escrito que puede pasar más fácilmente por auténtico. Se incentiva a los ciberdelincuentes en foros de discusión a crear borradores en su lengua materna y dejar que el LLM haga su trabajo.

Entre las formas de ataque de phishing que se benefician de los LLM, y que pueden tener un impacto financiero devastador, encontramos los ataques al correo electrónico corporativo (BEC). Durante estos ataques, los ciberdelincuentes intentan engañar a sus víctimas para que envíen el pago de facturas fraudulentas. Los LLM pueden ayudar a que estos mensajes parezcan más auténticos desde el punto de vista de la organización. Si bien los ataques BEC son la máxima prioridad para las organizaciones que desean detener las transacciones no autorizadas de fondos, los LLM también se pueden utilizar para elaborar otros tipos de mensajes de phishing.

Sin embargo, estos mensajes elaborados con LLM siguen dependiendo de que el usuario realice una acción, como leer una factura fraudulenta o interactuar con un enlace, que no puede falsificarse tan fácilmente. Cada correo electrónico redactado con LLM sigue siendo un correo electrónico, que contiene una serie de señales como la reputación del remitente, patrones de correspondencia y metadatos agrupados con cada mensaje. Con la estrategia y las herramientas de mitigación adecuadas, los ataques creados con los LLM pueden detenerse de forma fiable.

Si bien la popularidad de ChatGPT ha puesto a los LLM en el punto de mira recientemente, este tipo de modelos no es nuevo. Cloudflare lleva años entrenando sus modelos para defenderse de los ataques creados con los LLM. La capacidad de nuestros modelos para examinar todos los componentes de un correo electrónico garantiza la protección presente y futura de los clientes de Cloudflare, porque los sistemas de aprendizaje automático que nuestros equipos de investigación de amenazas han desarrollado analizando miles de millones de mensajes no se dejan engañar por correos electrónicos bien redactados.

Inconvenientes y amenazas de la IA generativa

Los ataques generados por IA más peligrosos se personalizan en función de los datos recopilados antes del ataque. Los ciberdelincuentes recopilan esta información durante el hackeo tradicional de cuentas e iteran a través de este proceso. Una vez que tienen suficiente información para llevar a cabo su ataque, proceden. Es muy selectivo y específico. La ventaja de la IA es la escala de las operaciones. Sin embargo, es necesario recopilar datos de forma masiva para crear mensajes que suplanten con precisión a la víctima que el atacante está fingiendo ser.

Aunque los ataques generados por IA pueden tener ventajas en cuanto a personalización y escalabilidad, su eficacia depende de su capacidad para disponer de muestras suficientes que garanticen la autenticidad. Los atacantes tradicionales también pueden emplear tácticas de ingeniería social para lograr resultados similares, aunque sin la eficacia y la escalabilidad de la IA. Sigue habiendo limitaciones relacionadas principalmente con la capacidad para identificar la oportunidad y el momento propicio para lanzar el ataque, como comentaremos en la siguiente sección, independientemente de la tecnología utilizada.

Para defenderse de estos ataques, las organizaciones deben adoptar un enfoque multicapa de la ciberseguridad, que incluye la formación para la concienciación de los empleados, el uso de sistemas avanzados de detección de amenazas que utilicen IA y técnicas tradicionales, y la actualización constante de las prácticas de seguridad para protegerse tanto de la IA como de los ataques de phishing tradicionales.

Los ciberdelincuentes pueden utilizar la IA para generar ataques, pero tienen sus inconvenientes. El cuello de botella en el número de ataques que pueden realizar con éxito es directamente proporcional al número de oportunidades que tienen a su disposición, y a los datos de que disponen para elaborar mensajes convincentes. Necesitan el acceso y la oportunidad, y sin ambos los ataques no tienen muchas probabilidades de éxito.

Tendencias de los ataques de phishing

En agosto del año pasado, publicamos nuestro Informe sobre phishing 2023. Ese año, Cloudflare procesó aproximadamente 13 000 millones de correos electrónicos, de los cuales bloqueó aproximadamente 250 millones de mensajes maliciosos para que no llegaran a las bandejas de entrada de los clientes. Aunque fue el año del ChatGPT, nuestros análisis sugieren que los ataques siguen girando en torno a vectores tradicionales, como los enlaces maliciosos.

Anatomía de un correo electrónico

Los correos electrónicos contienen información más allá del cuerpo y el asunto del mensaje. Nos gusta pensar que la creación de detecciones brinda a los correos electrónicos propiedades mutables e inmutables. Las propiedades mutables, como el cuerpo del texto, se pueden falsificar fácilmente, mientras que la falsificación de propiedades mutables, como la dirección IP del remitente, exige más esfuerzo. Sin embargo, hay propiedades inmutables como la antigüedad del dominio del remitente y la similitud del dominio con marcas conocidas que no se pueden alterar en absoluto.

El futuro del phishing de correo electrónico

La protección de las bandejas de entrada del correo electrónico es una tarea difícil, dadas las formas creativas en que los atacantes intentan suplantar a los usuarios. Este campo está en constante evolución y seguirá cambiando drásticamente a medida que las nuevas tecnologías sean accesibles al público. Tendencias como el uso de la IA generativa seguirán cambiando, pero nuestra metodología y enfoque para crear detecciones de correo electrónico garantizan la protección de nuestros clientes.

Encuentra toda la información de los especialistas en el blog de Cloudflare.

Share

Últimas historias

Website preview
Ciberseguridad que protege vidas: así se resguarda a la organización que incomoda al crimen en Latam
Investigar al crimen organizado en América Latina es una labor de alto riesgo. Un ejemplo es Insight Crime, una organización internacional dedicada a la investigación y el análisis, cuyo trabajo enfrenta peligros constantes: basta imaginar que su sitio web llegó a recibir hasta 1.2 millones de intentos de acceso malicioso por minuto, lo que provocó que quedara fuera de línea durante todo un día, imposibilitando el acceso para cualquiera que intentara consultarlo.
cloudflare.another.co
Website preview
Ciberseguridad que protege vidas: así se resguarda a la organización que incomoda al crimen en Latam
Investigar al crimen organizado en América Latina es una labor de alto riesgo. Un ejemplo es Insight Crime, una organización internacional dedicada a la investigación y el análisis, cuyo trabajo enfrenta peligros constantes: basta imaginar que su sitio web llegó a recibir hasta 1.2 millones de intentos de acceso malicioso por minuto, lo que provocó que quedara fuera de línea durante todo un día, imposibilitando el acceso para cualquiera que intentara consultarlo.
cloudflare.another.co
Website preview
Cloudflare bloqueó 181 millones de ciberataques al día en México en el segundo trimestre de 2025
En América Latina se bloquearon 19 mil millones de amenazas diarias, un 15% más que en 2024.
cloudflare.another.co

Consigue actualizaciones en tu bandeja de correo

Al hacer clic en "Suscribirse", confirmo que he leído y acepto la Política de Privacidad.