Redazione RHC : 25 agosto 2025 15:40
Los ataques de phishing son cada vez más sofisticados y ahora se dirigen no solo a los usuarios, sino también a las defensas automatizadas basadas en IA. Investigadores han descubierto una campaña en la que los atacantes incrustan instrucciones ocultas en correos electrónicos para confundir a los sistemas de IA que utilizan los SOC para clasificar y filtrar las amenazas.
El correo electrónico tenía un aspecto tradicional: el asunto era «Aviso de expiración de inicio de sesión 20/08/2025 16:56:21», y el cuerpo era una notificación sobre la inminente expiración de una contraseña a una dirección de correo electrónico con una solicitud de confirmación o actualización urgente de los datos. Esta técnica se basa en elementos habituales de la ingeniería social: la presión del tiempo, la imitación de mensajes oficiales y la suplantación de la marca de Gmail.
Pero el correo electrónico contenía algo mucho más interesante: un bloque de texto en la sección MIME, escrito al estilo de las indicaciones LLM como ChatGPT o Gemini. Incluía referencias a «razonamiento multinivel», «generación de 10 perspectivas diferentes» y «resumen optimizado». Estas referencias están ocultas a los usuarios, pero al analizar un correo electrónico, la IA podría distraerse con estas instrucciones y pasar por alto indicios evidentes de phishing.
Si estos algoritmos están relacionados con la automatización de procesos (etiquetado, escalamiento, apertura de tickets), dicha interferencia puede provocar retrasos, falsos negativos o la contaminación de los paneles del SOC.
La cadena de distribución en sí es una copia de la campaña anterior con modificaciones menores. Los correos electrónicos se enviaron a través de SendGrid, pasando SPF/DKIM, pero no DMARC, lo que les permitió eludir los filtros y acceder a las bandejas de entrada. Los atacantes utilizaron Microsoft Dynamics como redirección intermedia para aumentar la credibilidad del mensaje. La víctima era recibida por un dominio con un captcha que bloqueaba las zonas de pruebas y los rastreadores, y la página final imitaba un formulario de inicio de sesión de Gmail con JavaScript ofuscado.
El cargador de la primera etapa contenía un cifrado AES-CBC; la clave y el IV (los primeros 16 bytes del bloque) estaban ocultos en Base64. Una vez descifrado, se ejecutaba un script que controlaba el proceso de inicio de sesión falso: verificación de contraseña, simulación de errores de 2FA y prolongación de la interacción para obtener datos. Además, el sitio recopilaba direcciones IP, ASN y geolocalizaciones, y enviaba balizas para identificar a los usuarios reales y realizar análisis automatizados.
Los indicadores de vulnerabilidad incluyeron los dominios assets-eur.mkt.dynamics.com, bwdpp.horkyrown.com y glatrcisfx.ru, así como el acceso al servicio de perfiles get.geojs.io. Los expertos detectaron varias señales indirectas de que los operadores podrían estar afiliados al sur de Asia. Los registros WHOIS de los dominios atacantes contienen información de contacto de Pakistán, y las URL contienen palabras típicas del hindi y el urdu («tamatar» («tomate»), «chut» (una palabra obscena), lo que indica el posible origen del ataque en el sur de Asia, aunque los investigadores apuntan a la posibilidad de falsificación de rastros.
La principal diferencia entre esta campaña y las anteriores es el intento explícito de atacar dos objetivos simultáneamente: humanos e inteligencia artificial. Se engaña a la víctima para que introduzca sus credenciales, y el sistema de IA es engañado mediante indicaciones integradas. Esta «doble capa» hace que el phishing sea mucho más peligroso: ahora no solo los usuarios deben protegerse, sino también las propias herramientas de seguridad.
Los investigadores enfatizan que Estas técnicas aún son poco frecuentes, pero su aparición demuestra que el phishing ha entrado en escena. La etapa de los «ataques multicapa que tienen en cuenta la inteligencia artificial». Las empresas ahora tendrán que construir defensas en tres direcciones simultáneamente: contra la ingeniería social, contra la manipulación de la IA y contra el abuso de la redirección y la infraestructura de balizas.
RedazioneEn los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
