‘Doxing’ y ‘jailbreaking’: las nuevas formas en que cibercriminales usan la IA

En la era digital actual, la inteligencia artificial (IA) ha permeado todas las industrias y áreas de la sociedad, ofreciendo numerosas ventajas, pero también abriendo nuevas puertas para la ciberdelincuencia. Entre los métodos más alarmantes y novedosos que los delincuentes emplean, destacan el doxing y el jailbreaking.

De acuerdo con el especialista en Seguridad Informática de ESET Latinoamérica, Mario Micucci, el doxing es una práctica que implica la publicación de información privada de terceros con fines de extorsión. La misma ha encontrado en la IA un aliado poderoso, ya que esta agiliza la recopilación y procesamiento de datos, facilitando a los criminales la tarea de rastrear y exponer información personal de sus víctimas de manera más eficiente.

El jailbreaking, por otro lado, se refiere a la manipulación de sistemas de protección implementados por las empresas para evitar que los modelos de IA devuelvan información peligrosa, indicó Micucci.

Herramientas como ChatGPT están configuradas para no brindar información que pueda ser útil para un cibercriminal. Pero ahora, estos han desarrollado métodos sofisticados para romper estas barreras, logrando así acceder a información sensible y utilizando estos sistemas de manera indebida, explicó.

El especialista agregó que pueden modificar el sistema de IA y crear respuestas vinculadas a la generación de contenido para correos maliciosos o directamente para escribir código de un ransomware u otro tipo de malware, eludiendo estas limitaciones de las herramientas originales. Básicamente, se trata de engañar al algoritmo. 

"Imaginemos una planta de energía o una empresa que utiliza algoritmos de IA para detectar si una persona es conocida por la empresa o no. Tenemos un sistema en la compañía que, mediante la toma de una imagen de una persona, decide si una persona trabaja o no en la empresa. Si hay una persona que pueda dañar ese algoritmo, puede hacerle creer que una persona que no es de la empresa sí es válida. En China, por ejemplo, tienen sistemas de IA que detectan patrones en las personas que a partir de ahí pueden determinar rasgos criminales. Si alguien lo manipula, puede incriminar personas que sean inocentes", explicó Micucci.

Deepfake, phishing y esquivar controles de identidad: otras amenazas potenciadas por la IA

Las estafas mediante deepfake son otra amenaza creciente, según abordó el especialista de ESET. Esta técnica, que involucra la manipulación de imágenes y voces, ha permitido a los delincuentes crear videos y audios falsos que imitan a la perfección a personas conocidas. Esta tecnología puede ser usada para producir mensajes falsos de familiares o figuras públicas, generando confusión y desconfianza.

A lo anterior sumó el phishing, el cual sigue siendo uno de los métodos más utilizados por los ciberdelincuentes para robarle la información a las personas a través de lograr que estas accedan a links maliciosos. 

Ahora, con el apoyo de herramientas de IA como generadores de imágenes y ChatGPT, los delincuentes pueden crear correos electrónicos de phishing cada vez más sofisticados y convincentes, aumentando las probabilidades de que las víctimas hagan clic en enlaces maliciosos.

Otra amenaza existente, según explicó Micucci, es el uso de la IA para facilitar a los delincuentes esquivar controles de identidad. Los usuarios a menudo no son conscientes del riesgo que conlleva compartir imágenes y datos personales en aplicaciones aparentemente inofensivas. Un ejemplo de lo anterior es FaceApp, una aplicación que capturaba imágenes de rostros y que, sin que muchos usuarios lo supieran, almacenaba esos datos para otros fines. Estas imágenes pueden ser utilizadas para manipular los sistemas de autenticación facial o incluso para falsificar identidades.

Recomendaciones para protegerse

De acuerdo con el experto, para protegerse de estas amenazas, es esencial seguir una serie de recomendaciones:

• Leer términos y condiciones: es vital leer y comprender los términos y condiciones de las herramientas y aplicaciones que utilizamos. Esto puede evitar que nuestra información termine en bases de datos de terceros sin nuestro conocimiento.
• Desconfiar de sistemas de IA: aunque las herramientas de IA pueden facilitar muchas tareas, no debemos confiar ciegamente en ellas. Es importante verificar la información y ser críticos con los resultados que nos ofrecen.
• Mantenerse informado: la educación y la información son nuestras mejores defensas. Conocer cómo funcionan las tecnologías, sus limitaciones y las amenazas asociadas nos permite tomar decisiones más informadas y consultar a expertos cuando sea necesario.
• Actualizar sistemas y usar soluciones de seguridad: mantener actualizados los sistemas operativos y dispositivos, así como utilizar soluciones de seguridad confiables, son medidas fundamentales para protegerse contra los ataques cibernéticos.