MADRID, 16 Oct. (CIBERPRO) –
Una nueva campaña de publicidad maliciosa ha conseguido manipular a Grok, el ‘chatbot’ de la red social X (anteriormente conocida como Twitter), para propagar enlaces de ‘phishing’ y ‘malware’ de manera masiva.
La firma de ciberseguridad ESET ha alertado sobre una innovadora técnica de ‘malvertising’ que logra eludir las restricciones publicitarias de X, diseñadas para bloquear anuncios perjudiciales.
Este método se basa en publicar vídeos con contenido ‘clickbait’ cuyo origen (que aparece en gris debajo de la publicación) incluye, en lugar de la denominación de un medio o una página web, un enlace engañoso que redirige a sitios de ‘phishing’ o a descargas de ‘malware’.
La singularidad de esta campaña radica en la manipulación de Grok para que difunda el enlace a gran escala. Para ello, los cibercriminales solicitan al ‘chatbot’ que identifique el origen del vídeo. Al analizar el contenido, el sistema detecta el enlace incrustado y lo reproduce automáticamente, ampliando así el alcance de la estafa.
Este ataque es, en esencia, una técnica de inyección de instrucciones o ‘prompt injection’, donde los ciberdelincuentes insertan comandos ocultos en el contenido que procesan los sistemas de inteligencia artificial para que realicen acciones que normalmente tendrían bloqueadas.
La campaña de publicidad maliciosa ha sido bautizada como ‘AI-aided malvertising’ o ‘Grokking’, debido al papel que juega la inteligencia artificial en su difusión y a que Grok es el ‘chatbot’ elegido para tal fin.
Aunque ya se conocía que la IA podía ser utilizada en campañas maliciosas, el director de investigación y concienciación de ESET España, Josep Albors, ha destacado la «amenaza más sutil y potencialmente más peligrosa» que implica este hallazgo en X. «El caso de Grokking ilustra que incluso las IA más avanzadas pueden ser manipuladas para actuar en contra de los usuarios», ha declarado.
Los delincuentes se benefician de la reputación de Grok como una fuente confiable de información, lo que les permite alcanzar millones de visualizaciones. Sin embargo, desde ESET advierten que su impacto no se limita a la red social X, sino que puede extenderse a cualquier plataforma que integre modelos de lenguaje o asistentes basados en IA.
