Las ciberestafas con IA, la nueva amenaza de las compras de Navidad

La llegada de las fiestas de Navidad hace que se disparen tanto las compras físicas como en línea. Según un estudio de Deloitte hasta un 25% de las compras que se hicieron durante la campaña del año pasado se efectuaron por internet. Pero el auge de la cara oscura de la inteligencia artificial (IA) provoca que cada vez se tengan que tomar más medidas a la hora de ejecutar este tipo de compras.

"La IA supone una revolución en muchos ámbitos y también, por descontado, afecta al mundo de las ciberestafas. Hace que los ataques sean más sofisticados, ya que los que los cometen pueden redactar un texto más personalizado con el objetivo de suplantar la identidad y hacer pesca de credenciales (el conocido como phishing en inglés), crear más virus en nuevos lenguajes que facilitan la entrada de nuevos delincuentes, pedir dinero con nuevas técnicas, cómo el hipertrucaje (deep fake en inglés) —que son técnicas que combinan, reemplazan y superponen imágenes, videoclips y audios para crear archivos multimedia falsos que parezcan auténticos y reales—, o adaptar de manera óptima sus estrategias de ataque en tiempo real", advierte Laia Subirats, especialista en IA y profesora de los Estudios de Informática, Multimedia y Telecomunicación de la UOC.

Institutos como el INCIBE, detalla el especialista, dan una serie de consejos básicos a la hora de comprar, como ir con cuidado con los premios que se ofrecen vía correo electrónico, SMS o WhatsApp; buscar información del sitio web donde se quiere comprar; comprobar que haya varias opciones de pago seguras, o hacer un seguimiento de los movimientos de las tarjetas bancarias.

Además, la Agencia de Ciberseguridad de Cataluña también ha impulsado la página Internet Segura, que tiene como objetivo garantizar una sociedad de la información segura, mientras que la National Cybersecurity Alliance ofrece un conjunto de herramientas útiles, como activar las actualizaciones automáticas de software o evitar hacer compras cuando estás conectado a una red de wifi pública. A escala internacional, también está la Interpol, que da consejos útiles con la iniciativa #ElPróximoPuedeSerUsted.

¿Sin embargo, qué se tiene que hacer si un ciudadano sufre un ciberataque tanto con IA como sin? "Si una tarjeta de crédito está afectada, lo primero que hay que hacer es cancelarla", explica al especialista. Además, está el centro CATALONIA-CERT, que da respuesta a incidentes de ciberseguridad en Cataluña y proporciona un punto de contacto fiable para la comunicación y la gestión de ciberataques. En el ámbito del resto del Estado se puede recurrir al instituto Nacional de Ciberseguridad.

Aparte de las compras, hay otros aspectos en que la ciudadanía también tiene que mantener a la guardia para evitar ser víctima de ciberestafas con IA. En este sentido, la experta recuerda que en España ya hay personas que las han sufrido: "El Instituto Nacional de Ciberseguridad (INCIBE) alertó de que ciberdelincuentes se hacían pasar por la Agencia Tributaria, enviaban una notificación que amenazaba con sanciones, obligaba a descargarse archivos que contenían malware e infectaban el dispositivo que se estuviera utilizando", recuerda.

También hay casos más recientes como ciberdelincuentes aprovechan que usuarios de la red X piden ayuda públicamente para estafarles, o estafas con códigos QR en bares o restaurantes (lo que se conoce como qrishing). "Por eso es tan importante seguir las tendencias, noticias y recomendaciones de ciberseguridad de las diferentes agencias y el uso de buenas prácticas por parte de toda la ciudadanía", insiste Subirats.

Pero no tan sólo la ciudadanía tiene que estar alerta, recuerda, ya que muchos ciberataques hechos con IA tienen como punto de mira las instituciones. Según Subirats, para que estas puedan detectar vulnerabilidades tienen que tener políticas de prevención y detección de ciberestafas, como la monitorización de recursos y tráfico, la detección de anomalías, hacer auditorías, actualizar el software de manera frecuente o fomentar el pirateo ético (ethical hacking en inglés). "Para combatir ciberataques con IA, paradójicamente es muy útil utilizar las últimas técnicas d'IA", explica el especialista.

En Cataluña la cifra de ciberataques (tanto con IA como sin) el 2022 fue de 4.424 millones, veinte veces superior a la del 2021. "Con este volumen de ataques, es vital que las empresas inviertan en profesionales expertos en ciberseguridad para protegerse y que formen a todo su personal para que adopte una buena cultura de seguridad a la institución", alerta a la profesora de la UOC.

En este sentido, recuerda que en septiembre del 2022, el European Union Agency for Cybersecurity (ENISA) publicó un marco de perfiles de ciberseguridad que tendrían que tener las empresas. En el caso de las pequeñas y medianas empresas, la patronal PIMEC también da recomendaciones sobre protocolos, servicios, seguros y herramientas de ciberseguridad. "Es crucial estar actualizado con los cambios de regulación, especialmente aquellas organizaciones de sectores considerados críticos, como el sector sanitario, como  publica TIC Salud Social en su web", concluye la experta.