Nuestra nación ha entrado en una nueva carrera armamentista de fraude impulsada por la IA.

Con miles de millones de dólares en pérdidas por fraude aumentando tanto en el sector público como en el privado, está claro que las viejas formas de disuadir el fraude no están funcionando. Es por eso que necesitamos un nuevo manual que comience con la comprensión de cómo operan los estafadores, la evolución de nuestras defensas y el cambio a una postura proactiva que no sólo luche contra el fraude sino que lo persiga activamente.

En la era de la IA, tratar el fraude como un simple problema de puerta de entrada no funcionará. Este momento requiere que la industria, el gobierno y los consumidores trabajen juntos, reduzcan los silos y compartan inteligencia en tiempo real. El objetivo es ir más allá de la detección reactiva al comprender el ciclo de vida de una amenaza (desde su formación hasta su propagación) para que podamos intervenir antes de que establezca un punto de apoyo.

Durante décadas, el fraude ha sido tratado como una serie de incidentes aislados. Esta suposición falsa ha sustentado casi todos los esfuerzos pasados ​​para reprimirlo. Esos esfuerzos, aunque bien intencionados, no han dado en el blanco.

Ahora, a la luz de la decisión de la administración Trump Estrategia cibernética para Estados Unidos y la orden ejecutiva que lo acompaña, es fundamental comprender el panorama moderno del fraude y el papel central que desempeña la explotación de la identidad digital en él.

Nuevo investigación de Socure revela cuán dramáticamente está evolucionando el panorama.

El fraude se ha industrializado y los sindicatos del crimen organizado ejecutan operaciones globales, sistémicas, automatizadas y basadas en inteligencia artificial. Ninguna organización, servicio o programa es seguro. Los estafadores atacan programas gubernamentales, bancos, plataformas de tecnología financiera, empresas de telecomunicaciones y más, desdibujando la línea entre el fraude en el sector público, los delitos financieros y el ciberdelito.

Antes, el fraude podía detectarse mediante la reutilización de elementos de identidad en múltiples aplicaciones: el mismo correo electrónico, dispositivo, número de teléfono o dirección IP utilizados una y otra vez.

Pero los datos son claros: estos vínculos están disminuyendo rápidamente. Los estafadores sofisticados de hoy en día están diseñando sus ataques para evitar los patrones tradicionales de detección de fraude. Nuestra investigación demuestra que los correos electrónicos serán completamente únicos dentro de las poblaciones de fraude a partir de 2027, por lo que no podremos confiar en el correo electrónico para identificar patrones.

La velocidad es otra característica definitoria del fraude de identidad moderno. Los estafadores utilizan la IA para crear identidades limpias, duraderas, sintéticas y robadas a escala. En una campaña observada, se crearon y lanzaron 24.148 identidades sintéticas en menos de un mes, y muchos ataques ocurrieron en 48 horas. Lo que antes llevaba semanas o incluso meses, ahora se puede completar en días.

El rápido aumento de las granjas de identidad es otro indicador de la industrialización del fraude. Las granjas de identidad son operadas por redes criminales para crear sistemáticamente identidades sintéticas o robadas a lo largo del tiempo con el fin de parecerse mucho a identidades legítimas. Las identidades maduras se utilizan para abrir cuentas bancarias, de crédito y de movimiento de dinero, desviar beneficios gubernamentales, lavar fondos y más. Estas granjas de identidad se centran en identidades duraderas que pueden eludir los controles de verificación tradicionales.

Entonces, ¿qué debemos hacer? En pocas palabras, debemos pasar a la ofensiva.

Esto significa tratar la identidad como una infraestructura crítica e implementar estrategias que rastreen cómo se crearon las identidades antes del momento de su aplicación; ampliar el monitoreo de señales para incluir elementos como servidores proxy residenciales, comportamiento del ISP y actividad de registro de dominios; evaluar la velocidad y la orquestación en tiempo real; y tratar la medición continua, la iteración rápida de modelos y la inteligencia entre industrias como capacidades centrales.

Además, dado el rápido aumento del fraude, necesitamos más análisis del ecosistema completo, incluidos factores dinámicos como la información del dispositivo, las huellas digitales y la biometría del comportamiento para que las organizaciones puedan distinguir eficazmente a los humanos genuinos de las máquinas. En última instancia, este enfoque interconectado y en capas hace que sea mucho más difícil para los actores maliciosos recrear o robar identidades a escala.

El fraude ya no es una serie de actos aislados. Es una empresa global coordinada construida sobre la explotación de la identidad. Hasta que nuestros esfuerzos reflejen esta nueva realidad, continuaremos luchando contra una amenaza inminente y continua con herramientas obsoletas y nos quedaremos aún más atrás.

Ahora es el momento de hacer este cambio estratégico y poner finalmente a los estafadores pisándoles los talones.

Mike Cook se desempeña como jefe de conocimientos sobre fraude en Socure, la plataforma de identidad y riesgo para la era de la inteligencia artificial.

Los piratas informáticos del gobierno iraní están lanzando ciberataques disruptivos contra la infraestructura energética y hídrica estadounidense, advirtieron “urgentemente” el martes agencias del gobierno estadounidense.

Los piratas informáticos apuntan a dispositivos y sistemas que controlan procesos industriales y han dañado a víctimas en el último mes tras el inicio de los ataques de Estados Unidos e Israel contra Irán, según el alerta conjunta del FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Agencia de Protección Ambiental, el Departamento de Energía y el Comando Cibernético.

“Los actores de amenazas persistentes avanzadas (APT) afiliados a Irán están llevando a cabo actividades de explotación dirigidas a dispositivos de tecnología operativa (OT) conectados a Internet, incluidos controladores lógicos programables (PLC) fabricados por Rockwell Automation/Allen-Bradley”, afirma la alerta. «Esta actividad ha provocado interrupciones de PLC en varios sectores de infraestructura crítica de EE. UU. a través de interacciones maliciosas con el archivo del proyecto y la manipulación de datos en la interfaz hombre-máquina (HMI) y en las pantallas de control de supervisión y adquisición de datos (SCADA)».

agencias gubernamentales de EE. UU. he advertido antes sobre piratas informáticos iraníes que persiguen objetivos similares con métodos similares. La primera advertencia de este tipo se produjo después de que un grupo vinculado al gobierno iraní se atribuyera el mérito de atacar una instalación de agua de Pensilvania a finales de 2023.

Sin embargo, desde marzo de este año, las agencias dijeron que han visto surgir nuevas víctimas de un grupo de amenaza persistente avanzado vinculado a Irán.

«Las agencias autoras identificaron (a través de compromisos con organizaciones de víctimas) un grupo APT afiliado a Irán que interrumpió el funcionamiento de los PLC», se lee en la alerta. «Estos PLC se implementaron en múltiples sectores de infraestructura crítica de EE. UU. (incluidos servicios e instalaciones gubernamentales, WWS y sectores de energía) dentro de una amplia variedad de procesos de automatización industrial. Algunas de las víctimas experimentaron interrupciones operativas y pérdidas financieras».

La campaña anterior comprometió al menos 75 dispositivos, según la alerta.

Las últimas interrupciones incluyen «interactuar maliciosamente con archivos de proyectos y manipular datos mostrados en pantallas HMI y SCADA», según la advertencia de las agencias.

Después de que comenzó el conflicto entre Estados Unidos e Israel con Irán, los piratas informáticos conectados a Teherán se cobraron víctimas, incluida la importante empresa de tecnología médica Stryker, gobiernos locales y más.

El FBI advirtió el mes pasado que piratas informáticos iraníes estaban implementando malware en la aplicación Telegram, aunque esa campaña también es anterior al actual conflicto con Irán.

Durante años, la ciberseguridad ha seguido un modelo familiar: bloquear el malware, detener el ataque. Ahora, los atacantes pasan a lo que sigue.

Los actores de amenazas ahora usan malware con menos frecuencia en favor de lo que ya está dentro de su entorno, incluido el abuso de herramientas confiables, archivos binarios nativos y utilidades de administración legítimas para moverse lateralmente, escalar privilegios y persistir sin generar alarmas. La mayoría de las organizaciones no ven este riesgo hasta que el daño ya está hecho.

Para ayudar a visualizar este desafío, considere un complemento Evaluación de la superficie de ataque interno — una forma guiada y sencilla de ver dónde las herramientas confiables pueden estar funcionando en su contra.

Ahora, veamos cómo opera este riesgo dentro de su entorno y tres razones por las que los atacantes prefieren usar sus propias herramientas en su contra.

1. La mayoría de los ataques ya no parecen ataques

Los actores de amenazas prefieren ataques que no parezcan ataques.

Un análisis reciente de más de 700.000 incidentes de alta gravedad muestra una cambio claro: El 84% de los ataques ahora abusan de herramientas legítimas para evadir la detección. Ésta es la esencia de Vivir de la Tierra (LOTL).

En lugar de soltar cargas útiles que activan alertas, los atacantes utilizan herramientas integradas como PowerShell, WMIC y Certutil, las mismas herramientas en las que su equipo de TI confía todos los días. Estas acciones se mezclan con las operaciones normales, lo que hace extremadamente difícil distinguir entre uso legítimo e intención maliciosa.

El resultado es un peligroso punto ciego. Los equipos de seguridad ya no solo buscan «archivos malos». Están tratando de interpretar el comportamiento, a menudo en tiempo real, bajo presión y sin un contexto completo.

Y cuando algo parece claramente mal, el atacante ya está muy dentro del entorno.

2. Su superficie de ataque es mayor de lo que cree y, en su mayor parte, no está administrada

Los atacantes buscan herramientas no administradas que usted ya tenga.

Considere un sistema Windows 11 limpio.

Fuera de la caja, incluye cientos de binarios nativos – muchos de los cuales pueden ser objeto de abuso para ataques LOTL. Estas herramientas son confiables de forma predeterminada, están integradas en el sistema operativo y, a menudo, son necesarias para tareas legítimas o funcionalidad de aplicaciones.

Eso crea algunos desafíos fundamentales.

• No puedes simplemente bloquearlos sin interrumpir los flujos de trabajo.
• No es posible monitorearlos fácilmente sin generar ruido.
• En la mayoría de los casos, no sabes hasta qué punto son accesibles en toda tu organización.

Los análisis muestran que hasta el 95% del acceso a herramientas riesgosas es innecesario. Un factor es el acceso incontrolado a estas herramientas; otra es permitirles realizar todas las funciones de las que son capaces, incluidas funciones que rara vez utiliza la TI pero que los atacantes utilizan con frecuencia.

Cada permiso innecesario se convierte en una ruta de ataque potencial. Y cuando los atacantes no necesitan introducir nada nuevo, tus defensas ya están en desventaja.

3. La detección por sí sola no puede seguir el ritmo

La detección es tan fuerte que los atacantes buscan alternativas.

EDR y XDR son fundamentales y muy eficaces para detectar malware y amenazas que se destacan de la actividad normal. Sin embargo, la detección se está convirtiendo cada vez más en un ejercicio de interpretación a medida que los actores de amenazas abusan de herramientas legítimas para mezclarse. ¿Es legítimo ese comando de PowerShell? ¿Se espera la ejecución de ese proceso?

Ahora agregue velocidad.

Los ataques modernos, cada vez más asistidos por IA, se mueven más rápido de lo que los equipos pueden investigar. Cuando se confirma el comportamiento sospechoso, es posible que ya se haya establecido el movimiento lateral y la persistencia. Por eso ya no basta con confiar únicamente en la detección.

Lo que le falta a la mayoría de los equipos: visibilidad de la superficie de ataque interna

Si comprender el alcance de su superficie de ataque interna parece algo que debe investigar, tiene razón. Pero la mayoría de los equipos carecen del tiempo o los recursos para mapear los detalles.

• ¿A qué herramientas se puede acceder en toda la organización?
• ¿Dónde el acceso es excesivo o innecesario?
• ¿Cómo se traducen esos patrones de acceso en rutas de ataque reales?

Incluso cuando el riesgo se entiende conceptualmente, demostrarlo y priorizarlo es difícil. Por eso este problema persiste.

De reactivo a proactivo: comience con conocimiento

Cerrar esta brecha no comienza con agregar otra herramienta. Comienza con comprender su verdadero riesgo.

El Bitdefender Evaluación gratuita de la superficie de ataque interno le proporcionará una vista clara, basada en datos, de cuán expuesto está debido a sus herramientas confiables, para que pueda ver claramente el alcance de su superficie de ataque interna. Esta evaluación guiada se centra en identificar el acceso innecesario, descubrir riesgos reales y proporcionar recomendaciones priorizadas, sin interrumpir a sus usuarios ni agregarle gastos operativos.

Vea su entorno como lo hacen los atacantes

Los ataques LOTL se están convirtiendo en la opción predeterminada. Esto significa que el riesgo más importante es el que ya existe en su entorno, y cuanto antes comprenda cómo los atacantes pueden moverse a través de sus sistemas utilizando herramientas confiables, antes podrá reducir esas vías y evitar un ataque exitoso.

La mayoría de los equipos cuentan con herramientas de seguridad. Las alertas se activan, los paneles se ven limpios, la información sobre amenazas fluye. A primera vista, todo parece estar bajo control.

Pero una pregunta suele quedar sin respuesta: ¿sus defensas realmente detendrían un ataque real?

Ahí es donde las cosas se ponen inestables. Existe un control, por lo que se supone que funciona. Hay una regla de detección activa, por lo que se espera que detecte algo. Pero muy pocos equipos están probando constantemente cómo se mantiene todo esto cuando alguien intenta activamente abrirse paso, paso a paso.

Esta es exactamente la brecha en la que se centra este seminario web.

Resiliencia impulsada por la exposición: automatice las pruebas para validar y mejorar su postura de seguridad Es una sesión práctica basada en una idea: deja de adivinar, empieza a demostrar. En lugar de depender de pruebas o suposiciones ocasionales, muestra cómo validar su postura de seguridad continuamente utilizando el comportamiento real de un atacante.

La sesión explica cómo realizar pruebas de presión tanto de sus controles como de sus procesos, cómo utilizar la inteligencia sobre amenazas para guiar lo que prueba y cómo incorporar esto al SOC cotidiano y a los flujos de trabajo de respuesta a incidentes sin agregar complejidad innecesaria.

También escucharás directamente de Jermain Njemanze y Sebastián Miguelquien explicará cómo funciona esto en la práctica y realizará una demostración en vivo.

Si desea pruebas claras de que sus defensas funcionan, no solo señales de que existen, vale la pena dedicar tiempo a ello. Reserva un asiento y únete a la sesión.

📅 Guarde su lugar hoy: Regístrese para el seminario web aquí.

El Departamento del Tesoro está solicitando comentarios del público sobre si debería cambiar un programa de seguro contra riesgos de terrorismo para abordar las pérdidas relacionadas con la cibernética.

en un Aviso del Registro Federal El Tesoro, que se publicará el miércoles, busca comentarios del público para un informe obligatorio que debe entregar al Congreso este verano sobre la eficacia del programa de seguro contra riesgos de terrorismo (TRIP, por sus siglas en inglés) creado por la Ley de Seguro contra Riesgos de Terrorismo de 2002. Esa ley surgió de los ataques terroristas del 11 de septiembre y proporcionó un respaldo federal para hacer que los seguros contra riesgos de terrorismo sean más disponibles y asequibles.

Algunos expertos han sugerido que la industria de los seguros cibernéticos también debería recibir un respaldo federal mientras la industria lucha por desarrollarse plenamente. Dado que la ley expirará a fines de 2027, vincularla a la reautorización de la ley de seguro contra riesgos de terrorismo podría ser una forma de lograr que el Congreso cree dicho respaldo cibernético.

Entre los temas que el Tesoro espera que los comentaristas aborden antes de enviar el informe al Congreso en junio está la interacción entre la ley y el programa de seguro contra riesgos de terrorismo y la ciberseguridad. La agencia aceptará comentarios hasta el 8 de mayo.

Eso incluye: “Cualquier cambio potencial a TRIA o TRIP que fomente la contratación de seguros para pérdidas relacionadas con la cibernética que surjan de actos de terrorismo como se define en TRIA, incluyendo, entre otros, la posible modificación de las líneas de seguro cubiertas por TRIP y revisiones de cualquiera de los mecanismos actuales de reparto para pérdidas relacionadas con la cibernética, como, por ejemplo, el deducible de la aseguradora individual o el porcentaje de participación federal”.

En 2021, el Tesoro emitió una norma que dejaba claro que TRIP podría cubrir pérdidas cibernéticas si se inscribían en una línea de seguro elegible para TRIP. Sin embargo, un Informe de la Oficina de Responsabilidad Gubernamental el año pasado describió algunas de las limitaciones allí.

«Debido a que TRIA fue diseñada específicamente como un respaldo federal para pérdidas por actos de terrorismo, sólo las pérdidas por ciberataques certificados por el Tesoro como actos de terrorismo tendrían cobertura TRIA», afirma. «Como resultado, incluso los grandes ciberataques que provocan pérdidas catastróficas no estarían cubiertos por la TRIA si no estuvieran certificados como actos de terrorismo».

El Tesoro dijo en su aviso del Registro Federal que quiere comentarios sobre las pérdidas relacionadas con el terrorismo cibernético dentro del TRIP y las pérdidas fuera de él.

Para ser certificados, los ataques cibernéticos tendrían que cumplir con las definiciones de la ley de seguros contra riesgos de terrorismo. Deben ser violentos o peligrosos para la vida, la propiedad o la infraestructura, y estar diseñados para influir en la población o el gobierno de Estados Unidos. Es posible que los daños a organizaciones estadounidenses fuera de los Estados Unidos aún no califiquen.

El fabricante de dispositivos médicos Stryker sufrió recientemente un ataque con limpiaparabrisas, con el grupo pro palestino vinculado al gobierno iraní Handala. tomando crédito. Dijo que el ataque fue en represalia por los ataques militares de Estados Unidos e Israel contra Irán, específicamente un Ataque con misiles estadounidenses en una escuela que mató a 175 personas, según el gobierno de Irán.

de nubeflare informe inaugural de inteligencia sobre amenazas identifica una serie de debilidades en la tecnología de la que los atacantes han abusado e industrializado en «fábricas de ataques» profesionales, dejando a la mayoría de las organizaciones sin preparación para responder.

Los atacantes están convirtiendo los mismos servicios que las víctimas implementan y pagan en herramientas para lanzar ataques a gran escala. Los investigadores dicen que la barrera de entrada ha desaparecido, ya que las identidades y los tokens permiten a los atacantes convertir en armas las brechas en los sistemas basados ​​en la nube.

Los entornos de las organizaciones están plagados de posibles puntos de entrada. A medida que se difunde el modelo de todo como servicio, los sistemas se vuelven más interconectados y dependientes unos de otros, y muchos componentes de software son accesibles de maneras que los hacen casi tan accesibles para los atacantes como para los usuarios legítimos.

«Cuando una de esas interconexiones falla, de repente todo sale mal», dijo a CyberScoop Blake Darché, jefe de la unidad de inteligencia de amenazas de Cloudflare, Cloudforce One.

«Los datos son más accesibles que nunca, lo cual es bueno en muchos casos, pero los actores de amenazas están utilizando ese fácil acceso a esos datos como una forma de explotar a las personas, los sistemas y las organizaciones», añadió. «Será cada vez más difícil. Creo que algunas de las herramientas de inteligencia artificial lo empeorarán aún más».

Los atacantes han convertido «el tejido conectivo de la empresa moderna en su principal vulnerabilidad», escribieron los investigadores en el informe.

Cloudflare espera que los atacantes exploten las plataformas de forma rutinaria como táctica estándar este año. Los ciberdelincuentes, los estados-nación y otros utilizan habitualmente recursos de la nube pública para mezclarse con el tráfico legítimo, proporcionar infraestructura para las operaciones y lanzar señuelos de phishing basados ​​en enlaces en correos electrónicos que eluden o eluden protecciones ineficaces, escribieron los investigadores en el informe.

Las debilidades en las fisuras de los entornos de nube complejos son abundantes y trascendentes, lo que permite que los ataques basados ​​en identidad logren el mismo resultado que el malware complejo o los exploits de día cero.

Estos puntos ciegos hacen que los barómetros tradicionales de peligro (la sofisticación demostrada de los atacantes a través de un código elegante o novedosos días cero) sean efectivamente triviales, escribieron los investigadores en el informe.

«Si usted es una empresa que acaba de perder un millón de registros, no importa si el autor de la amenaza era sofisticado, poco sofisticado o un niño», dijo Darché.

Cloudflare sostiene que la industria debería replantear la forma en que categoriza el riesgo y adoptar un enfoque más pragmático: centrarse en la “eficacia”, medida por la relación entre el esfuerzo de un atacante y el resultado operativo que logra.

«Resulta que no es necesario ser sofisticado para tener éxito», dijo Darché. «En la industria, estamos demasiado centrados en la sofisticación de las amenazas y probablemente ya no se trate de eso, y con el tiempo se volverá menos el nivel de sofisticación».

La ola de ataques de gran alcance que se originó en Salesloft Drift el verano pasado, que afectó a Cloudflare y a más de 700 empresas adicionales a través de la conexión del agente de IA externo con Salesforce, ejemplificó los riesgos que acechan en lugares inesperados de la cadena de suministro.

Las relaciones de confianza de las que dependen estos servicios interconectados deben examinarse más a fondo, afirmó Darché. «Usted, como propietario de los datos, ni siquiera sabe adónde van a parar sus datos y su exposición es casi infinita».

meta el jueves dicho está tomando acciones legales para abordar las estafas en sus plataformas mediante la presentación de demandas contra lo que llama anunciantes engañosos con sede en Brasil, China y Vietnam.

Como parte del esfuerzo, se suspendieron los métodos de pago de los anunciantes, se deshabilitaron las cuentas relacionadas y se bloquearon los nombres de dominio de los sitios web utilizados para realizar las estafas.

Al mismo tiempo, el gigante de las redes sociales dijo que también emitió cartas de cese y desistimiento a ocho consultores de marketing que anunciaron la capacidad de eludir sus sistemas de aplicación de políticas publicitarias. Esto incluía servicios falsos de «desbanificación» o restauración de cuentas y alquiler de acceso a cuentas confiables para ayudar a los clientes a eludir sus controles.

Se descubrió que al menos tres anunciantes, dos de Brasil y uno de China, participaban en estafas con cebos para celebridades, que a menudo implican el uso indebido de la imagen de figuras conocidas para engañar a las personas para que hagan clic en anuncios falsos que conducen a sitios fraudulentos. Estos sitios web están diseñados para recopilar datos confidenciales o engañar a usuarios desprevenidos para que envíen dinero o inviertan en plataformas falsas.

Los tres anunciantes contra los que Meta ha presentado demandas se enumeran a continuación:

• Vitor Lourenço de Souza y Milena Luciani Sánchez, residentes en Brasil, están siendo demandados por utilizar imágenes y voces alteradas de celebridades para promover productos sanitarios fraudulentos.
• B&B Suplementos e Cosméticos Ltda., con sede en Brasil. (Brites Corp), Brites Academia de Treinamento Ltda., Daniel de Brites Macieira Cordeiro y José Victor de Brites Chaves de Araújo por ser parte de una operación fraudulenta que aprovechó imágenes sintéticas de un médico destacado para publicitar productos de atención médica sin aprobación regulatoria y vendió cursos que enseñaban las mismas tácticas.
• Shenzhen Yunzheng Technology Co., Ltd, con sede en China, por utilizar anuncios de cebo para celebridades dirigidos a personas en varios países, incluidos Estados Unidos y Japón, como parte de un plan de fraude diseñado para atraerlos a unirse a grupos de inversión.

«Para luchar contra las estafas de cebo de celebridades, desarrollamos protecciones para celebridades cuyas imágenes se utilizan repetidamente en estos esquemas», dijo Meta. «Este programa protege actualmente las imágenes de más de 500.000 celebridades y figuras públicas de todo el mundo».

Además, la empresa señaló que demandó al anunciante con sede en Vietnam Lý Văn Lâm por utilizar técnicas de encubrimiento para eludir su proceso de revisión. El encubrimiento se refiere a una técnica adversa que tiene como objetivo ocultar la verdadera naturaleza de un sitio web vinculado a un anuncio en un intento de engañar a los sistemas de revisión de anuncios al ofrecer una versión de su contenido durante la revisión y mostrar un contenido malicioso completamente diferente a los usuarios reales.

En este caso, se dice que el anunciante utilizó anuncios fraudulentos para ofrecer artículos con descuento de marcas conocidas a cambio de completar una encuesta. Las personas que interactuaron con estos anuncios fueron dirigidas a sitios web falsos donde se les pidió que ingresaran la información de su tarjeta de crédito para comprar artículos que nunca fueron entregados. Sus tarjetas de crédito también incurrieron en tarifas recurrentes no autorizadas, una práctica conocida como fraude de suscripción.

El desarrollo se produce meses después de una investigación de Reuters. descubrió que el 19% de los 18 mil millones de dólares en ventas de publicidad de Meta en China en 2024 provinieron de anuncios de estafas, juegos de azar ilegales, pornografía y otros contenidos prohibidos. El informe también descubrió agencias que permiten a las empresas publicar anuncios prohibidos, lo que llevó a la empresa a revisar su programa Badged Partners.

En un análisis de 14,5 millones de anuncios publicados en plataformas Meta en toda la UE y el Reino Unido durante un período de 23 días, Gen Digital descubrió que casi uno de cada tres de esos anuncios (alrededor del 30,99%) apuntaba a un enlace de estafa, phishing o malware.

«En total, los anuncios fraudulentos generaron más de 300 millones de impresiones en menos de un mes», afirma la empresa de ciberseguridad. dicho a principios de este mes. «La actividad estaba altamente concentrada, con solo 10 anunciantes responsables de más del 56% de todos los anuncios fraudulentos observados. Se rastrearon grupos de campañas repetidas hasta pagos compartidos e infraestructura vinculada a China y Hong Kong, lo que indica operaciones organizadas a escala industrial en lugar de malos actores aislados».

Estos hallazgos también coinciden con el descubrimiento de infraestructura maliciosa y servicios clandestinos que se han utilizado para vender diversos tipos de estafas.

• Se han descubierto estafas combinar publicidad maliciosa y matanza de cerdos modelos de fraude para defraudar a las víctimas, principalmente a aquellas en Japón, engañándolas para que hagan clic en anuncios con temas de inversión en las redes sociales. Estos anuncios redirigen a las víctimas a sitios web que les piden que interactúen con un supuesto experto a través de aplicaciones de mensajería escaneando un código QR.
• Una vez que las víctimas se agregan a chats individuales y grupales con estos supuestos expertos, que en algunos casos no son más que chatbots impulsados ​​por inteligencia artificial (IA), se les persuade a invertir cantidades progresivamente mayores de dinero, solo para exigir una «tarifa de liberación» para desbloquear ganancias inexistentes. Se han descubierto más de 23.000 dominios dentro de este ecosistema.
• Los actores de amenazas son comprometiendo enrutadores para alterar la configuración de DNS para usar solucionadores de sombra alojados en Aeza International, una empresa de alojamiento a prueba de balas (BPH) sancionada por el gobierno de EE. UU. en julio de 2025. Esta modificación no autorizada está diseñada para alterar selectivamente las respuestas de DNS asociadas con Okta y Shopify, lo que permite a los operadores dirigir a los usuarios a contenido fraudulento y de malware mediante un sistema de distribución de tráfico (TDS) basado en HTTP.
• Se ha creado una red maliciosa de notificaciones push. observado utilizar una red de dominios maliciosos para atacar a los usuarios de Android Chrome en todo el mundo con un flujo constante de notificaciones automáticas no deseadas (por ejemplo, «¡Android infectado con malware!» o «El sistema necesita un escaneo») después de obtener permisos en un intento de dirigir a sitios fraudulentos y contenido para adultos. Según datos de Infoblox, Bangladesh, India, Indonesia y Pakistán representaron el 50% de todo el tráfico.
• Se ha identificado una red de más de 150 sitios web falsos clonados que se hacen pasar por bufetes de abogados reales con sede en EE. UU. y el Reino Unido y se dirigen a usuarios que buscan asesoramiento y representación legal para promover una estafa de suplantación de empresas.
• «Los sitios utilizaron el nombre de la firma, la marca y las identidades de abogados disponibles públicamente, presentándose como servicios legales y de recuperación de activos legítimos, ofreciendo ayudar a las víctimas a recuperar los fondos perdidos en fraudes anteriores», Sygnia dicho. «La campaña se dirigió a personas que ya habían sufrido fraude financiero».

El proliferación de estafasimpulsada por una floreciente economía de matanza de cerdos como servicio (PBaaS), no ha escapado a la atención de las autoridades, como lo demuestra el desmantelamiento de compuestos de estafa en Sudeste Asiático en últimos meses.

A principios de este mes, el gobierno camboyano prometido para tomar medidas enérgicas y desmantelar las redes de estafa cibernética que operan dentro de sus fronteras, y agregó que los funcionarios de policía lanzaron 48 operaciones en los primeros nueve meses de 2025 para combatir el fraude cibernético, arrestaron a 168 personas y deportaron a 2.722 personas de regreso a sus países de origen.

Los esfuerzos en curso han reducido la actividad fraudulenta a la mitad desde principios de este año, afirmó el Ministro Principal Chhay Sinarith, presidente de la Secretaría de la Comisión para la Lucha contra los Delitos Tecnológicos. citado como decía esta semana. El primer ministro camboyano, Hun Manet, también admitido que los centros de estafas en línea que operan en el país están dañando la reputación del país y socavando su economía.

Un funcionario encargado de hacer cumplir la ley chino intentó utilizar ChatGPT para revisar sus informes sobre operaciones cibernéticas, y posteriormente reveló detalles de una campaña mundial de acoso y silenciamiento en línea de los críticos de China en el país y en el extranjero.

En una nueva amenaza informe Publicado el miércoles, OpenAI dijo que la actividad se refería a una sola cuenta que usaba regularmente ChatGPT para revisar y editar informes sobre «operaciones cibernéticas especiales». Esa misma cuenta también intentó utilizar ChatGPT para planificar una campaña de propaganda contra el primer ministro japonés Sanae Takaichi. Cuando la modelo se negó, el actor regresó semanas después con indicaciones que indicaban que la operación había procedido de todos modos.

Los informes subidos a ChatGPT «sugirieron que los actores de amenazas habían llevado a cabo muchas otras operaciones anteriores, en un esfuerzo integral para reprimir la disidencia y silenciar a los críticos tanto en línea como fuera de línea, en el país y en el extranjero», decía el informe.

Si bien solo hay evidencia de una sola cuenta utilizada por la agencia, OpenAI dijo que las operaciones dirigidas a los críticos chinos descritas en el informe parecen «a gran escala, requieren muchos recursos y son sostenidas», y consisten en cientos de personal humano, miles de cuentas falsas en diferentes plataformas de redes sociales y el uso de modelos locales de inteligencia artificial chinos.

Estas operaciones incluyeron publicaciones masivas y generación de contenido, inundando empresas de redes sociales con quejas falsas sobre cuentas propiedad de disidentes, falsificación de documentos y, en algunos casos, incluso haciéndose pasar por funcionarios estadounidenses para intimidar.

Una campaña separada que involucraba un grupo de cuentas que «probablemente se originaron» en China continental solicitó a ChatGPT información sobre «personas, foros y ubicaciones de edificios federales estadounidenses».

Las cuentas también generaron borradores de correo electrónico supuestamente de una empresa llamada Nimbus Hub Consulting con sede en Hong Kong, pero el informe de OpenAI señala que las cuentas utilizaron VPN y solicitaron que el modelo utilizara caracteres del idioma chino simplificado, que se asocia más comúnmente con China continental.

OpenAI dijo que, cuando se le preguntó sobre las entidades estadounidenses, ChatGPT también proporcionó fuentes de información «disponibles públicamente» sobre las ubicaciones de las oficinas del gobierno federal de los EE. UU., la distribución de empleados federales por estado, foros profesionales y sitios web de empleo en las industrias económica y financiera de los EE. UU.

Los actores chinos generaron correos electrónicos en inglés para funcionarios estatales estadounidenses y analistas de políticas comerciales y financieras, invitándolos a unirse a consultas pagadas y ofrecer asesoramiento estratégico a los clientes de los actores.

Estos correos electrónicos frecuentemente buscarían trasladar la conversación a otra plataforma de videoconferencia, como WhatsApp, Zoom o Teams. Una de las cuentas subió sus especificaciones de hardware y solicitó instrucciones no técnicas paso a paso para instalar un software de intercambio de rostros en tiempo real llamado FaceFusion.

«El modelo respondió con información extraída del sitio web y la documentación disponibles públicamente de FaceFusion», dijo OpenAI.

No hay evidencia de ciberataques automatizados

El informe se centró principalmente en cómo los ciberdelincuentes y los actores estatales utilizaron ChatGPT para respaldar estafas e influir en las operaciones. OpenAI detalló cuatro operaciones de información encubierta y tres operaciones de estafa romántica. Además de las operaciones de influencia chinas, también informó sobre el contenido de propaganda generado para Rybar, un grupo de influencia en línea alineado con Rusia.

El informe de OpenAI detalla cómo algunos operadores utilizaron ChatGPT para automatizar tareas aisladas, como una estafa romántica camboyana que combinaba operadores humanos y de IA al comunicarse con las víctimas. El informe no citó ningún caso de actores de amenazas que utilicen ChatGPT para operaciones de piratería ofensiva directa.

Las herramientas de inteligencia artificial pueden brindar a actores legítimos y maliciosos acceso a una velocidad y escala tremendas en línea. Durante el año pasado, los piratas informáticos chinos habrían utilizado al menos otro modelo de inteligencia artificial fabricado en Estados Unidos para realizar ciberataques altamente automatizados contra empresas y gobiernos.

Durante una sesión de preguntas y respuestas con los medios, un funcionario de OpenAI dijo que no tenía conocimiento de ningún caso en el que los actores de amenazas usaran ChatGPT para llevar a cabo ataques automatizados, pero agregó que la compañía tiene múltiples investigaciones en curso que no han concluido.

Gran parte de la actividad observada en el informe de OpenAI sigue un patrón común, detallando a los actores de amenazas que todavía están en pleno proceso de experimentar con la tecnología de IA y aprender dónde proporciona el mayor valor en su cadena de operaciones.

Algunos lo utilizaron para generar contenido propagandístico en torno a un objetivo específico, monitorear plataformas de redes sociales o proporcionar una mejor traducción de idiomas para señuelos de phishing. Pero de manera similar a lo que informó Google a principios de este mes, en la mayoría de los casos los actores de amenazas están utilizando la IA de manera limitada y específica como amplificador de las operaciones existentes.

En algunos casos, está claro que ChatGPT es una de las múltiples herramientas de inteligencia artificial que utiliza el actor de amenazas. En el caso de la agencia policial china, Los informes de estado cargados en el modelo sobre operaciones de información hacen referencia al uso de modelos de IA chinos implementados localmente como DeepSeek, y es probable que el grupo haya utilizado un modelo diferente para prepararse para su campaña de propaganda contra Taikaichi.

«La actividad de amenazas rara vez se limita a una plataforma; como muestra nuestro informe… muestra, no siempre se limita a un modelo de IA», dice el informe. «Más bien, los actores de amenazas pueden utilizar diferentes modelos de IA en distintos puntos de su flujo de trabajo operativo».

Un funcionario encargado de hacer cumplir la ley chino intentó utilizar ChatGPT para revisar sus informes sobre operaciones cibernéticas, y posteriormente reveló detalles de una campaña mundial de acoso y silenciamiento en línea de los críticos de China en el país y en el extranjero.

En una nueva amenaza informe Publicado el miércoles, OpenAI dijo que la actividad se refería a una sola cuenta que usaba regularmente ChatGPT para revisar y editar informes sobre «operaciones cibernéticas especiales». Esa misma cuenta también intentó utilizar ChatGPT para planificar una campaña de propaganda contra el primer ministro japonés Sanae Takaichi. Cuando la modelo se negó, el actor regresó semanas después con indicaciones que indicaban que la operación había procedido de todos modos.

Los informes subidos a ChatGPT «sugirieron que los actores de amenazas habían llevado a cabo muchas otras operaciones anteriores, en un esfuerzo integral para reprimir la disidencia y silenciar a los críticos tanto en línea como fuera de línea, en el país y en el extranjero», decía el informe.

Si bien solo hay evidencia de una sola cuenta utilizada por la agencia, OpenAI dijo que las operaciones dirigidas a los críticos chinos descritas en el informe parecen «a gran escala, requieren muchos recursos y son sostenidas», y consisten en cientos de personal humano, miles de cuentas falsas en diferentes plataformas de redes sociales y el uso de modelos locales de inteligencia artificial chinos.

Estas operaciones incluyeron publicaciones masivas y generación de contenido, inundando empresas de redes sociales con quejas falsas sobre cuentas propiedad de disidentes, falsificación de documentos y, en algunos casos, incluso haciéndose pasar por funcionarios estadounidenses para intimidar.

Una campaña separada que involucraba un grupo de cuentas que «probablemente se originaron» en China continental solicitó a ChatGPT información sobre «personas, foros y ubicaciones de edificios federales estadounidenses».

Las cuentas también generaron borradores de correo electrónico supuestamente de una empresa llamada Nimbus Hub Consulting con sede en Hong Kong, pero el informe de OpenAI señala que las cuentas utilizaron VPN y solicitaron que el modelo utilizara caracteres del idioma chino simplificado, que se asocia más comúnmente con China continental.

OpenAI dijo que, cuando se le preguntó sobre las entidades estadounidenses, ChatGPT también proporcionó fuentes de información «disponibles públicamente» sobre las ubicaciones de las oficinas del gobierno federal de los EE. UU., la distribución de empleados federales por estado, foros profesionales y sitios web de empleo en las industrias económica y financiera de los EE. UU.

Los actores chinos generaron correos electrónicos en inglés para funcionarios estatales estadounidenses y analistas de políticas comerciales y financieras, invitándolos a unirse a consultas pagadas y ofrecer asesoramiento estratégico a los clientes de los actores.

Estos correos electrónicos frecuentemente buscarían trasladar la conversación a otra plataforma de videoconferencia, como WhatsApp, Zoom o Teams. Una de las cuentas subió sus especificaciones de hardware y solicitó instrucciones no técnicas paso a paso para instalar un software de intercambio de rostros en tiempo real llamado FaceFusion.

«El modelo respondió con información extraída del sitio web y la documentación disponibles públicamente de FaceFusion», dijo OpenAI.

No hay evidencia de ciberataques automatizados

El informe se centró principalmente en cómo los ciberdelincuentes y los actores estatales utilizaron ChatGPT para respaldar estafas e influir en las operaciones. OpenAI detalló cuatro operaciones de información encubierta y tres operaciones de estafa romántica. Además de las operaciones de influencia chinas, también informó sobre el contenido de propaganda generado para Rybar, un grupo de influencia en línea alineado con Rusia.

El informe de OpenAI detalla cómo algunos operadores utilizaron ChatGPT para automatizar tareas aisladas, como una estafa romántica camboyana que combinaba operadores humanos y de IA al comunicarse con las víctimas. El informe no citó ningún caso de actores de amenazas que utilicen ChatGPT para operaciones de piratería ofensiva directa.

Las herramientas de inteligencia artificial pueden brindar a actores legítimos y maliciosos acceso a una velocidad y escala tremendas en línea. Durante el año pasado, los piratas informáticos chinos habrían utilizado al menos otro modelo de inteligencia artificial fabricado en Estados Unidos para realizar ciberataques altamente automatizados contra empresas y gobiernos.

Durante una sesión de preguntas y respuestas con los medios, un funcionario de OpenAI dijo que no tenía conocimiento de ningún caso en el que los actores de amenazas usaran ChatGPT para llevar a cabo ataques automatizados, pero agregó que la compañía tiene múltiples investigaciones en curso que no han concluido.

Gran parte de la actividad observada en el informe de OpenAI sigue un patrón común, detallando a los actores de amenazas que todavía están en pleno proceso de experimentar con la tecnología de IA y aprender dónde proporciona el mayor valor en su cadena de operaciones.

Algunos lo utilizaron para generar contenido propagandístico en torno a un objetivo específico, monitorear plataformas de redes sociales o proporcionar una mejor traducción de idiomas para señuelos de phishing. Pero de manera similar a lo que informó Google a principios de este mes, en la mayoría de los casos los actores de amenazas están utilizando la IA de manera limitada y específica como amplificador de las operaciones existentes.

En algunos casos, está claro que ChatGPT es una de las múltiples herramientas de inteligencia artificial que utiliza el actor de amenazas. En el caso de la agencia policial china, Los informes de estado cargados en el modelo sobre operaciones de información hacen referencia al uso de modelos de IA chinos implementados localmente como DeepSeek, y es probable que el grupo haya utilizado un modelo diferente para prepararse para su campaña de propaganda contra Taikaichi.

«La actividad de amenazas rara vez se limita a una plataforma; como muestra nuestro informe… muestra, no siempre se limita a un modelo de IA», dice el informe. «Más bien, los actores de amenazas pueden utilizar diferentes modelos de IA en distintos puntos de su flujo de trabajo operativo».