Innovación

Los humanos siguen siendo mejores que la IA para crear correos electrónicos de phishing, por ahora

0 0 4 minutos de lectura
An AI generated phishing email.

Los correos electrónicos de phishing generados por IA, incluidos los creados por ChatGPT, representan una nueva amenaza potencial para los profesionales de la seguridad, dijo Hoxhunt.

Correos electrónicos de phishing generados por IA.Imagen: Gstudio/Adobe Stock

A pesar de todo lo que se dice sobre ChatGPT y otras aplicaciones de IA, los ciberdelincuentes ya están usando IA para generar correos electrónicos de phishing. Actualmente, los ciberdelincuentes humanos son aún más hábiles en la elaboración de ataques de phishing exitosos, pero la brecha se está cerrando, según un nuevo informe publicado el miércoles por el entrenador de seguridad Hoxhunt.

ChatGPT y campañas de phishing creadas por humanos

Hoxhunt comparó las campañas de phishing generadas por ChatGPT con las creadas por humanos para determinar cuál tenía más probabilidades de engañar a las víctimas desprevenidas.

Para el experimento, la empresa envió simulaciones de phishing diseñadas por ingenieros sociales humanos, o ChatGPT, a 53 127 usuarios en 100 países. Los usuarios recibieron simulaciones de phishing en sus bandejas de entrada como recibirían cualquier tipo de correo electrónico. Configure la prueba para desencadenar tres respuestas posibles:

  1. éxito: El usuario informó con éxito que la simulación de phishing era maliciosa a través del botón Informe de amenazas de Hoxhunt.
  2. extrañar: El usuario no interactúa con la simulación de phishing.
  3. fallar: Los usuarios muerden el anzuelo y hacen clic en enlaces maliciosos en los correos electrónicos.
LEER  Regalos navideños geniales relacionados con la tecnología para los amantes de las mascotas

Resultados de la simulación de phishing dirigida por Hoxhunt

Al final, los correos electrónicos de phishing generados por humanos atraparon a más víctimas que los creados por ChatGPT. Específicamente, los usuarios cayeron en el 4,2 por ciento de los mensajes generados por humanos en comparación con el 2,9 por ciento de los generados por IA. Esto significa que los ingenieros sociales humanos superan a ChatGPT en aproximadamente un 69 %.

Un resultado positivo del estudio es que la formación en seguridad puede resultar eficaz para detener los ataques de phishing. Es más probable que los usuarios con mayor conciencia de seguridad resistan la tentación de participar en correos electrónicos de phishing, ya sea que sean generados por humanos o por inteligencia artificial. El porcentaje de personas que hicieron clic en enlaces maliciosos en los mensajes se redujo de más del 14 por ciento entre los usuarios menos capacitados a entre el 2 y el 4 por ciento entre los usuarios bien capacitados.

mirar: Política de concienciación y formación sobre seguridad (Edición Premium de Tecnopedia)

Publicaciones relacionadas

Los resultados también varían según el país:

  • a nosotros: El 5,9% de los usuarios encuestados fueron engañados por correos electrónicos generados por humanos, mientras que el 4,5% fueron engañados por mensajes generados por IA.
  • Alemania: El 2,3% fueron engañados por humanos y el 1,9% por IA.
  • Suecia: El 6,1% fueron engañados por humanos y el 4,1% por IA.

Las defensas de ciberseguridad actuales aún pueden cubrir los ataques de phishing de IA

Si bien los correos electrónicos de phishing creados por humanos son más convincentes que los de IA, estos resultados son erráticos, especialmente a medida que mejoran ChatGPT y otros modelos de IA. Las pruebas en sí se realizaron antes del lanzamiento de ChatGPT 4, que promete ser más inteligente que su predecesor. Las herramientas de IA seguramente evolucionarán y representarán una mayor amenaza para las organizaciones de ciberdelincuentes que las utilizan para sus propios fines maliciosos.

Informes de seguridad de lectura obligada

En el lado positivo, proteger su organización de correos electrónicos de phishing y otras amenazas requiere la misma defensa y coordinación, ya sea que el ataque sea causado por una inteligencia humana o artificial.

El director ejecutivo y cofundador de Hoxhunt, Mika Aalto, dijo: «ChatGPT permite a los delincuentes lanzar campañas de phishing perfectamente redactadas a escala y, si bien esto elimina un indicador clave de un ataque de phishing (los errores gramaticales), otros indicadores entrenados son fácilmente observables». de su estrategia general de ciberseguridad, asegúrese de vigilar a sus empleados y su comportamiento de correo electrónico, porque eso es lo que nuestros adversarios están haciendo con sus nuevas herramientas de IA.

«Haga de la seguridad una responsabilidad compartida en toda la organización a través de una capacitación continua que capacite a los usuarios para detectar mensajes sospechosos y los recompense por informar amenazas hasta que la detección de amenazas humanas se convierta en un hábito».

Consejos de seguridad o TI y usuarios

Con ese fin, Aalto ofrece los siguientes consejos.

para TI y seguridad

  • Requiera autenticación de dos factores o autenticación de múltiples factores para todos los empleados que accedan a datos confidenciales.
  • Proporcione a todos los empleados las habilidades y la confianza para denunciar correos electrónicos sospechosos; dicho proceso debería ser fluido.
  • Proporcione a los equipos de seguridad los recursos que necesitan para analizar y actuar sobre los informes de amenazas de los empleados.

para los usuarios

  • Pase el cursor sobre cualquier enlace en el correo electrónico antes de hacer clic en él. Si el enlace parece inapropiado o irrelevante para el mensaje, informe el correo electrónico como sospechoso al soporte de TI o al equipo de soporte técnico.
  • Vuelva a verificar el campo De para asegurarse de que la dirección de correo electrónico contenga un dominio comercial legítimo. Si la dirección apunta a Gmail, Hotmail u otro servicio gratuito, lo más probable es que el mensaje sea un correo electrónico de phishing.
  • Confirme los correos electrónicos sospechosos con el remitente antes de tomar medidas. Póngase en contacto con el remitente sobre el mensaje utilizando un método que no sea el correo electrónico.
  • Piense antes de hacer clic. Los ataques de phishing de ingeniería social intentan crear una falsa sensación de urgencia, incitando al destinatario a hacer clic en un enlace o procesar el mensaje lo más rápido posible.
  • Preste atención al tono y la voz de su correo electrónico. Actualmente, los correos electrónicos de phishing generados por IA se escriben de manera formal y forzada.

Lea a continuación: Como hoja de ciberseguridad, ChatGPT puede tener lo mejor de ambos mundos (República tecnológica)

LEER  Pepper the robot: la guía de un hombre sabio
Etiquetas
0 0 4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba