Redazione RHC : 25 agosto 2025 15:40
Los ataques de phishing son cada vez más sofisticados y ahora se dirigen no solo a los usuarios, sino también a las defensas automatizadas basadas en IA. Investigadores han descubierto una campaña en la que los atacantes incrustan instrucciones ocultas en correos electrónicos para confundir a los sistemas de IA que utilizan los SOC para clasificar y filtrar las amenazas.
El correo electrónico tenía un aspecto tradicional: el asunto era «Aviso de expiración de inicio de sesión 20/08/2025 16:56:21», y el cuerpo era una notificación sobre la inminente expiración de una contraseña a una dirección de correo electrónico con una solicitud de confirmación o actualización urgente de los datos. Esta técnica se basa en elementos habituales de la ingeniería social: la presión del tiempo, la imitación de mensajes oficiales y la suplantación de la marca de Gmail.
Pero el correo electrónico contenía algo mucho más interesante: un bloque de texto en la sección MIME, escrito al estilo de las indicaciones LLM como ChatGPT o Gemini. Incluía referencias a «razonamiento multinivel», «generación de 10 perspectivas diferentes» y «resumen optimizado». Estas referencias están ocultas a los usuarios, pero al analizar un correo electrónico, la IA podría distraerse con estas instrucciones y pasar por alto indicios evidentes de phishing.
Si estos algoritmos están relacionados con la automatización de procesos (etiquetado, escalamiento, apertura de tickets), dicha interferencia puede provocar retrasos, falsos negativos o la contaminación de los paneles del SOC.
La cadena de distribución en sí es una copia de la campaña anterior con modificaciones menores. Los correos electrónicos se enviaron a través de SendGrid, pasando SPF/DKIM, pero no DMARC, lo que les permitió eludir los filtros y acceder a las bandejas de entrada. Los atacantes utilizaron Microsoft Dynamics como redirección intermedia para aumentar la credibilidad del mensaje. La víctima era recibida por un dominio con un captcha que bloqueaba las zonas de pruebas y los rastreadores, y la página final imitaba un formulario de inicio de sesión de Gmail con JavaScript ofuscado.
El cargador de la primera etapa contenía un cifrado AES-CBC; la clave y el IV (los primeros 16 bytes del bloque) estaban ocultos en Base64. Una vez descifrado, se ejecutaba un script que controlaba el proceso de inicio de sesión falso: verificación de contraseña, simulación de errores de 2FA y prolongación de la interacción para obtener datos. Además, el sitio recopilaba direcciones IP, ASN y geolocalizaciones, y enviaba balizas para identificar a los usuarios reales y realizar análisis automatizados.
Los indicadores de vulnerabilidad incluyeron los dominios assets-eur.mkt.dynamics.com, bwdpp.horkyrown.com y glatrcisfx.ru, así como el acceso al servicio de perfiles get.geojs.io. Los expertos detectaron varias señales indirectas de que los operadores podrían estar afiliados al sur de Asia. Los registros WHOIS de los dominios atacantes contienen información de contacto de Pakistán, y las URL contienen palabras típicas del hindi y el urdu («tamatar» («tomate»), «chut» (una palabra obscena), lo que indica el posible origen del ataque en el sur de Asia, aunque los investigadores apuntan a la posibilidad de falsificación de rastros.
La principal diferencia entre esta campaña y las anteriores es el intento explícito de atacar dos objetivos simultáneamente: humanos e inteligencia artificial. Se engaña a la víctima para que introduzca sus credenciales, y el sistema de IA es engañado mediante indicaciones integradas. Esta «doble capa» hace que el phishing sea mucho más peligroso: ahora no solo los usuarios deben protegerse, sino también las propias herramientas de seguridad.
Los investigadores enfatizan que Estas técnicas aún son poco frecuentes, pero su aparición demuestra que el phishing ha entrado en escena. La etapa de los «ataques multicapa que tienen en cuenta la inteligencia artificial». Las empresas ahora tendrán que construir defensas en tres direcciones simultáneamente: contra la ingeniería social, contra la manipulación de la IA y contra el abuso de la redirección y la infraestructura de balizas.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
