Los hackers pueden aprovechar la información que recopilan en línea para orquestar nuevos ataques que impacten a otros. Esto es especialmente relevante en el contexto de las publicaciones en Instagram, según una investigación realizada por la Universidad de Texas en Arlington y la Universidad Estatal de Luisiana publicada recientemente en mayo. Este estudio detalla cómo los agresores pueden utilizar estas publicaciones para llevar a cabo ataques de phishing, que pueden parecer más personales y creíbles.
El phishing representa un grave problema, ya que puede poner en riesgo contraseñas y facilitar el robo de información personal. Este método ha evolucionado con el tiempo, adaptándose a nuevas tácticas. Es crucial estar alerta y no ofrecer oportunidades a los atacantes. También te proporcionaremos algunas recomendaciones sobre cómo protegerte.
Publicaciones de Instagram como herramienta de phishing
Este descubrimiento resalta un problema creciente: los hackers ya no requieren robar bases de datos ni realizar procesos complicados. Con la ayuda de IA y modelos de aprendizaje automático, pueden examinar fotos públicas, la información de esas imágenes, y cualquier detalle que los usuarios hagan accesible, como ubicación, aficiones o intereses.
Con toda esta información, pueden elaborar correos electrónicos personalizados que se adapten a cada persona. Al conocer más sobre la posible víctima, generan mensajes que tienen más probabilidad de ser abiertos o en los que se interactúe. Por ejemplo, si alguien publica frecuentemente sobre ciclismo, subir imágenes montando en bicicleta, podrían crear correos relacionados con este interés, lo que haría que la víctima no sospechara al recibir un mensaje de este tipo.
En sus pruebas, los investigadores lograron crear alrededor de 8.000 correos electrónicos de phishing utilizando cinco modelos de aprendizaje automático (LLM), incluyendo GPT-4, Claude 3 Haiku, Gemini 1.5 Flash, Gemma 7B y Llama 3.3. Se basaron únicamente en la información pública disponible en Instagram.
Si consideramos un ataque de phishing de años pasados, podríamos referirnos a un correo electrónico genérico que intentaba atacar a miles de personas. Sin embargo, hoy en día esta estrategia ha evolucionado a un enfoque más personalizado, lo que incrementa la tasa de éxito. Al aprovechar las redes sociales, como Instagram, los atacantes pueden recolectar una gran cantidad de información.
Consejos para protegerte
Es importante recordar que ahora no solo escriben de manera más convincente, sino que pueden generar miles de correos en un corto periodo, lanzar ataques adaptados tanto a móviles como a ordenadores, crear páginas casi idénticas a las originales o emplear campañas multicanal para atacar a través de SMS, correo electrónico, redes sociales o incluso llamadas telefónicas.
Esto nos obliga a estar más vigilantes, y el sentido común es siempre la mejor herramienta. Detectar el phishing ya no es tan simple como antes; ya no se presentan errores ortográficos o gramaticales evidentes, ni direcciones claramente falsas o mensajes sin coherencia. El contexto ha mejorado notablemente. Sin embargo, la mejor defensa sigue siendo desconfiar de cualquier mensaje que recibas, incluso si parece provenir de una empresa legítima.
Respecto a Instagram y el uso que hacen de las publicaciones, es esencial limitar la exposición de tu información. Puedes configurar tu perfil como privado para que solo tus contactos tengan acceso a tus publicaciones. Además, evita compartir información sensible que pueda ser utilizada en tu contra, como el lugar de trabajo, aficiones específicas o lugares donde practicas esas aficiones. Todo lo que pueda ser utilizado para crear mensajes de phishing debe ser protegido.
Evita compartir tu itinerario de viaje en tiempo real, proporcionar detalles exactos sobre tu trabajo o tus compañeros, eliminar información antigua que pueda comprometerte y cuidar aspectos como hábitos y horarios.
Asimismo, es vital proteger tus cuentas al máximo. Asegúrate de utilizar una contraseña fuerte y activar la autenticación en dos pasos. Esto te ayudará a prevenir accesos no autorizados.
Preguntas frecuentes
¿Es posible que otras redes sociales sean usadas para ataques de phishing?
Sí, es posible que se utilicen otras redes sociales. Aunque este estudio se ha centrado en Instagram, en realidad cualquier plataforma puede ser aprovechada para recopilar información.
¿Qué hacer si soy víctima de un ataque de phishing?
Podrían robar tus contraseñas, datos personales o incluso tomar el control de tus dispositivos. Es crucial prevenir este tipo de situaciones.
¿A través de qué medios puede ocurrir el phishing?
Un ataque de phishing puede llegar por correo electrónico, SMS o redes sociales. También es posible que se realicen llamadas telefónicas.
