"Los hackers ya pueden realizar ataques de phishing por menos de 25 euros". Y además la IA los hará incluso más difíciles de detectar

Por lo que te podrías deteriorar en comprar el circular durante sólo dos semanas, ahora cualquier persona —sin requisito de ser un versado en tecnología— puede convertirse en un ciberdelincuente. Según afirman los expertos de la empresa de cibserseguridad NordVPN, esta novedosa democratización del cibercrimen podemos agradecérsela a los nuevos kits de phishing: paquetes de herramientas maliciosas disponibles por menos de 25 euros en la 'dark web' y en canales de transporte como Telegram.

Y esta nueva existencia está multiplicando el peligro de que millones de ciudadanos caigan víctimas de fraudes cada vez más sofisticados.

¿Qué son los kits de phishing?

Los kits de phishing son conjuntos prefabricados de herramientas diseñadas para crear páginas web falsas y correos electrónicos fraudulentos que imitan a empresas, instituciones públicas y marcas reconocidas. Su objetivo es engañar al becario para que revele información sensible como contraseñas, números de plástico de crédito o datos bancarios.

Y lo preocupante no es solo su bajo precio, sino su facilidad de uso para los criminales con conocimientos de informática 'nivel becario': incorporan editores tipo "tirar y soltar", plantillas listas para despachar, y hasta listas ya elaboradas de correos objetivos.

El maniquí PhaaS: phishing como servicio

A esta amenaza se suma un aberración aún más preocupante: el 'Phishing-as-a-Service' (PhaaS), plataformas que funcionan como verdaderos proveedores de servicios criminales online: ofrecen, por suscripción, toda la infraestructura necesaria para exhalar campañas de phishing, desde el alojamiento de sitios web fraudulentos hasta soporte técnico, pasando por la segmentación de víctimas, estos servicios convierten la ciberdelincuencia en un negocio profesionalizado y escalable.

Lo preocupante es la resistor y adaptabilidad de estos servicios, puesto que, aunque las autoridades logren desmantelar una plataforma, los atacantes suelen reactivarla con otro nombre y desde otra ubicación. El uso de criptomonedas para los pagos y el alojamiento en jurisdicciones laxas con el crimen digital dificulta su persecución.

Crecimiento explosivo y nuevas formas de ataque

Según los datos de NordVPN, el phishing se disparó entre un 65% y un 100% solo en 2023 respecto al año preparatorio en España, especialmente en forma de smishing (mensajes SMS falsos) relacionados con entregas de paquetes o devoluciones de impuestos. En 2024, las marcas más suplantadas fueron Google, Facebook y Microsoft, y se detectaron cerca de 85.000 URLs falsas relacionadas con Google.

Encima, los delincuentes están incorporando nuevas tecnologías a su cantera. La inteligencia químico (IA) ya se usa para difundir correos personalizados mediante el estudio de redes sociales, clonar voces en ataques telefónicos, e incluso crear páginas de phishing interactivas con chatbots falsos.

"En militar, es probable que la IA acelere tanto la escalera como la realismo de los ataques de phishing, haciéndolos más difíciles de detectar y más peligrosos para el sabido en militar".

Igualmente deseo ámbito el llamado 'quishing', el uso de códigos QR para engañar a las víctimas, una técnica especialmente eficaz en espacios públicos y medios impresos.

Máxima personalización para aumentar su impacto

Uno de los factores que incrementa la operatividad de estos ataques es su punto de personalización. Según explica a Genbeta Adrianus Warmenhoven, versado en ciberseguridad de NordVPN, dicha personalización no se da nada más por idiomas: en España, por ejemplo, los ciberdelincuentes personalizan sus kits incluso según la comunidad autónoma.

Así, suplantan marcas conocidas como Amazon o Microsoft, pero además entidades nacionales como Correos, la Agencia Tributaria, bancos como Santander y BBVA, e incluso servicios autonómicos de vitalidad. El objetivo es difundir una sensación de intimidad que reduzca las sospechas del becario.

¿Quiénes son las principales víctimas?

Nadie está a excepto, pero algunos colectivos son más vulnerables que otros: las personas mayores, adecuado a su beocio alfabetización digital, son un blanco recurrente. Pero eso no significa que sean la única vivientes expuesta a las ciberestafas; según Warmenhoven,

"Al mismo tiempo, los usuarios más jóvenes se convierten con más frecuencia en objetivo de estafas a través de las redes sociales y los SMS, como falsas notificaciones de entrega o regalos online".

Hay, claro, otros factores al ganancia de la momento que influyen a la hora de convertirte en víctima de una ciberestafa:

• El origen: "Los inmigrantes o los hablantes no nativos, que pueden no rebuscar las incoherencias en las comunicaciones de aspecto oficial, además se ven afectados de forma desproporcionada".
• La ocupación: "En los últimos abriles, los ciberdelincuentes han atacado cada vez más a propietarios de pequeñas empresas y autónomos con facturas y avisos de plazo falsos, pero muy convincentes".

¿Qué están haciendo las autoridades?

En palabras de Warmenhoven, "las autoridades públicas de muchos países, entre ellos España, han tomado medidas para hacer frente al phishing, pero sus esfuerzos siguen siendo insuficientes".

Pero, aunque España ha reforzado sus mecanismos de respuesta con iniciativas del INCIBE o la Patrulla Civil, y su colaboración con el Centro Europeo de Ciberdelincuencia de Europol,

"los tiempos de respuesta, la asignación de posibles y los marcos legislativos siguen estando por detrás de la rápida proceso de las tácticas de phishing".

Encima, la dispersión internacional de los delincuentes y sus infraestructuras dificulta aún más la acto lícito y policial.

¿Cómo guarecerse?

Frente a este ambiente, la prevención es la mejor defensa. Warmenhoven recomienda:

• Desconfiar de enlaces sospechosos y revisar cuidadosamente su ortografía.
• Activar la autenticación en dos pasos en todas las cuentas posibles.
• Evitar descargar archivos de correos no solicitados.
• No hacer clic en ofertas urgentes o regalos inesperados.
• Usar herramientas antimalware y persistir los dispositivos actualizados.
• Instalar bloqueadores de rastreadores para proteger la privacidad.

Imagen | Marcos Merino mediante IA

En Genbeta  | Ahora que estábamos empezando a 'ver venir' los e-mails de ciberestafas, llega una nueva técnica: el phishing de clonación