Así es la falsa llamada de Gmail que usa IA para estafarte y que engaña a expertos en ciberseguridad

Actualizado hace 7 minutos

A medida que los medios tecnológicos avanzan y los usuarios se muestran más cautelosos, las estafas en línea van subiendo el nivel y logran una sofisticación cada vez mayor, llegando a engañar en un primer momento a varios expertos en ciberseguridad de han alcanzado un nuevo nivel de elaboración gracias al uso de inteligencia artificial.

Un ejemplo de ello es una serie de ataques de tipo phishing dirigidos a usuarios de Gmail en el que los ciberdelincuentes generan llamadas falsas y usan técnicas avanzadas para robar los datos de los usuarios, e incluso los de expertos en seguridad informática utilizando la inteligencia artificial (IA). Su capacidad de engaño, es tal que Zach Latta, fundador del Hack Club, declaró a la revista Forbes cómo estuvo a punto de ser víctima de un ataque de este tipo, aunque al final consiguió evitarlo. Lo que parecía ser una simple llamada de soporte técnico de Google resultó ser una trampa para robar sus datos.

Un móvil con su cuenta de Gmail abierta, lista para su uso.

Cómo funciona este ataque de 'phishing' con IA

El intento de timo empieza con una llamada telefónica, siguiendo la estela de las que hace unos años hacía en nombre de Windows, que el teléfono identifica, y da por buena, como una línea legítima de Google. Según han narrado algunas de las víctimas, les habla una voz con acento estadounidense (de momento estos casos se han dado en el país norteamericano, pero todo puede llegar) y se presenta como un ingeniero o un técnico de soporte de Google. En su mensaje alerta de aparente actividad sospechosa en la cuenta de Gmail del usuario.

Como refuerzo de la llamada, el estafador manda un correo electrónico desde la dirección workspace-noreply@google.com, que también aparenta ser legítima. El mensaje contiene detalles como un número de caso y un enlace de recuperación de cuenta, como si fuera el parte de incidencia de un aviso corriente. Así se trata de convencer de que la comunicación con Google es auténtica.

La novedad de estos casos es el uso de la IA para copiar las voces humanas de manera casi perfecta, como hacen los boots conversacionales de atención al usuario. En algunos casos, los expertos afectados las confundieron con personas reales, haciéndoles pensar en que quizá fuera real el suceso.

El intento de estafa llega a su culmen cuando el usuario recibe un código de autenticación multifactor (MFA) genuino desde los servidores de Google. En este momento, se intenta convencer a la víctima para que lo introduzca en su sistema fraudulento y tomar el control de la cuenta.

Así ha reaccionado Google

Ante la gravedad de la intrusión, los técnicos reales de Google han tomado medidas inmediatas para contrarrestar este ataque. Según un portavoz de la empresa, la cuenta utilizada en el ataque fue suspendida de inmediato y se han llevado a cabo medidas para evitar que los ciberdelincuentes sigan aprovechándose de dominios legítimos como g.co para engañar a los usuarios.

Además, la compañía californiana ha anunciado una vez más que, al igual que la mayoría de empresas e instituciones, nunca realiza llamadas para solicitar cambios de contraseña ni para advertir sobre supuestos accesos sospechosos.

Igualmente ha insistido en su recomendación de que sus usuarios activen su Programa de Protección Avanzada. De esta manera los usuarios deben utilizar una llave de seguridad física o una clave de acceso para iniciar sesión en sus cuentas de Gmail. De esta manera, aunque los estafadores logren su objetivo, no podrán acceder sin el dispositivo físico que contiene la clave de seguridad.

Un hacker trata de colarse en un sistema informático. Freepik

Cómo evitar esta estafa

Los intentos de estafa no son nuevos y cada vez se dan conocer más, por lo que ya debemos estar de sobreaviso ante posibles intentos.

Para ello hay que estar atento y no dejarse llevar por los automatismos o por la presión que quieran imponernos.

La primera medida de precaución que hay que tener es leer detenidamente cualquier correo no solicitado en el que nos informe de un problema de este tipo. Esto incluye que además del cuerpo del texto, de la dirección de la que nos lo han enviado y el asunto, comprobemos el resto de las casillas o de los ítems, en especial el de para, donde se suele ocultar alguna otra dirección de email.

Si en el texto nos invitan, aconsejan, piden, exigen que pinchemos en un enlace concreto, no hay que hacerlo y mucho menos rellenar nada ni mandar ningún tipo de información.

El siguiente paso suele ser recibir una llamada por teléfono. Lo dicho, no hay que fiarse de este tipo de llamadas por mucho que aparezca como oficial de la empresa. No hay que olvidar que estas empresas raramente llaman a nadie por este tipo de temas. En el caso de que contestes, hay que fijarse en cómo habla el interlocutor para tratar de identificar si es una persona real o un bot. No se trata de evaluar acentos y maneras de decir las cosas, también una excesiva corrección o perfección, no tener ni un solo fallo también puede ser un indicio de que no es humana la voz al otro lado del teléfono.