Los datos de identidad siempre han sido uno de los botines favoritos de los ciberdelincuentes. Con su ayuda, se pueden iniciar compromisos de cuenta y cometer fraude de identidad. Ahora ChatGPT & Co también están ayudando con correos electrónicos de phishing perfectos. Una declaración de Dirk Decker, Director Regional de Ventas DACH y EMEA Sur en Ping Identity.
Los atacantes suelen utilizar la ingeniería social y el phishing. La tasa de éxito de tales ataques, basada principalmente en la masa pura, es limitada. Los correos electrónicos individualizados y los mensajes adaptados a una víctima ofrecen tasas de éxito significativamente más altas, pero también requieren mucho más trabajo y, por lo tanto, son, hasta ahora, más bien la excepción.
ChatGPT & Co ayuda con el phishing
Hasta ahora, porque con la aparición de los primeros chatbots basados en IA, como ChatGPT, los correos electrónicos y mensajes sobre ingeniería social y phishing dirigidos a las masas ahora también se pueden individualizar, y esto de manera rápida, fácil y efectiva. La tasa de éxito de un solo ataque, por no hablar de una campaña completa, puede aumentar considerablemente gracias a la IA. Porque incluso los correos electrónicos de respuesta, hasta conversaciones más largas y altamente complejas, se pueden crear automáticamente de manera 'realista' con chatbots basados en IA. Para hacer esto, la IA solo necesita los datos personales y de identificación personal de sus víctimas que son de libre acceso para todos en Internet. Incluso es capaz de perfeccionar correos electrónicos y mensajes basados en las reacciones positivas y negativas de sus víctimas.
Christina Lekati, experta en defensa contra ataques de ingeniería social, explicó recientemente cómo pueden verse en la práctica estos ataques basados en IA contra datos de identidad en el artículo 'ChatGPT y el futuro de la ingeniería social', que vale la pena leer. El TÜV también evalúa el desarrollo emergente como serio. En su estudio 'Seguridad cibernética en las empresas alemanas', recientemente publicado, la asociación advierte explícitamente contra el uso indebido de los sistemas de inteligencia artificial por parte de los ciberdelincuentes, también y especialmente en el contexto de la personalización y optimización de campañas de ingeniería social y phishing selectivo.
Simule internamente campañas de phishing basadas en IA
Para minimizar la tasa de éxito potencial de las campañas respaldadas por IA, muchos expertos ahora recomiendan crear conciencia sobre el problema en la fuerza laboral y simular campañas de phishing basadas en IA para detectar posibles puntos débiles y contenerlos por adelantado. Estas medidas preventivas están muy bien, pero no son suficientes por sí solas. Se requiere más, y ahora también es posible. Estamos hablando del uso de datos de identidad verificados y soluciones de gestión de identidad descentralizada y detección y respuesta a amenazas de identidad (ITDR).
Con el fin de minimizar el riesgo de fraude, muchas empresas exigen ahora a sus clientes que proporcionen datos de identidad verificables, copias digitales que pueden ser "certificadas" asignadas a la persona por un tercero verificador, por ejemplo, una autoridad. Para que los clientes acepten compartir estos datos de identidad de alta calidad con una empresa, la empresa primero debe establecer y garantizar un mayor nivel de protección de los datos.
Gestión descentralizada de identidades digitales
Ping Identity, Dirk Decker, Director Regional de Ventas DACH y EMEA Sur (Imagen: Ping Identity).
La gestión descentralizada de las identidades digitales les permite hacer precisamente eso. Con una solución de administración de identidad descentralizada, los datos de identidad verificados se almacenan, administran y comparten a través de una billetera digital encriptada en el teléfono inteligente del cliente. De esta manera, siempre conserva el control total sobre sus datos. Solo él decide qué quiere compartir, cuándo y con quién.
Finalmente, ITDR permite la identificación, mitigación y respuesta adecuada a escenarios de amenazas basadas en la identidad, como cuentas de usuario comprometidas, contraseñas comprometidas, datos comprometidos y otras actividades fraudulentas. El aprendizaje automático se utiliza para distinguir entre el comportamiento típico y atípico de los usuarios humanos y los bots, de modo que se puedan tomar contramedidas en una etapa temprana en caso de un compromiso.
En el curso del creciente uso indebido de la IA, es necesario y correcto protegerse de manera más efectiva que antes contra el robo de identidad y los compromisos de cuentas, y gracias a los datos de identidad verificados, la gestión de identidad descentralizada y el ITDR, ahora también es posible. Las soluciones de administración de identidades de próxima generación, eso es seguro, ya no podrán evitar estas características.
Más en PingIdentity.com
Acerca de la identidad de ping Ping Identity es una garantía de experiencias digitales seguras y sin problemas para todos los usuarios, sin compromiso. Esto es lo que entendemos por libertad digital. Permitimos que las organizaciones combinen las mejores soluciones de identidad de su clase con los servicios de terceros que ya utilizan para eliminar el uso de contraseñas, prevenir el fraude, fortalecer la confianza cero o todo lo demás.