Vía The Epoch Times
Un investigador de seguridad y el director ejecutivo de una empresa tecnológica emergente advirtieron que algunos usuarios de Gmail podrían convertirse en víctimas de una estafa sofisticada basada en inteligencia artificial que puede llevar al robo de sus cuentas.
El director ejecutivo de Ycombinator, una importante firma de capital de riesgo orientada a la tecnología, escribió en X a fines de la semana pasada que existe una estafa de phishing “bastante elaborada” que utiliza una voz generada por inteligencia artificial.
“Debe tener en cuenta una estafa de phishing bastante elaborada que utiliza la voz de IA y que dice ser el soporte técnico de Google (el identificador de llamada coincide, pero no está verificado). NO HAGA CLIC EN SÍ EN ESTE DIÁLOGO: será víctima de phishing”, escribió Garry Tan en una publicación de X que calificó de “anuncio de servicio público”, con fecha del 10 de octubre.
“Afirman que están comprobando que estás vivo y que deberían ignorar un certificado de defunción presentado que afirma que un miembro de la familia está recuperando tu cuenta. Es una estrategia bastante elaborada para lograr que permitas la recuperación de contraseña”, dijo Tan.
Un investigador de seguridad, en una publicación de blog el mes pasado, escribió sobre un intento de estafa similar dirigido a cuentas de Gmail, que también utiliza una voz generada por IA.
“Las estafas son cada vez más sofisticadas, más convincentes y se implementan a una escala cada vez mayor”, escribió Sam Mitrovic, un consultor de TI, en la publicación. “La gente está ocupada y esta estafa sonaba y parecía lo suficientemente legítima como para darles una A por su esfuerzo. Es probable que muchas personas caigan en la trampa”.
Según la publicación, Mitrovic dijo que recibió una notificación para aprobar un intento de recuperar una cuenta de Gmail, que finalmente rechazó. Luego, unos 40 minutos después, recibió una llamada telefónica con un identificador de llamada como «Google Sydney», que también la rechazó.
“Exactamente una semana después”, agregó, “más o menos exactamente a la misma hora, recibí otra notificación para aprobar nuevamente la recuperación de mi cuenta de Gmail desde Estados Unidos”.
“Como ya habrás adivinado, unos 40 minutos después recibo una llamada que contesto esta vez. Es una voz estadounidense, muy educada y profesional. El número es australiano. Se presenta y dice que hay actividad sospechosa en mi cuenta”, continuó Mitrovic.
La persona del otro lado de la línea le preguntó si Mitrovic estaba de viaje, a lo que respondió que no, según su versión. La persona le preguntó si Mitrovic estaba en Alemania, a lo que también respondió que no.
Mitrovic dijo que descubrió que el número de la persona que llamaba era uno oficial que figuraba en la página de soporte de TI de Google Australia, y agregó que pidió un correo electrónico de confirmación para descubrir que el correo electrónico también parecía ser una cuenta oficial utilizada por el equipo de Google.
“De fondo, puedo escuchar a alguien escribiendo en el teclado y durante toda la llamada hay un ruido de fondo que recuerda al de un centro de llamadas. Me dice que ha enviado el correo electrónico. Después de unos momentos, el correo electrónico llega y, a primera vista, parece legítimo: el remitente es de un dominio de Google”, escribió.
Pero el investigador señaló que “falsificar una dirección de correo electrónico es fácil y observo que el campo ‘Para’ contiene una dirección de correo electrónico ingeniosamente llamada GoogleMail en InternalCaseTracking punto com”, que es un “dominio que no es de Google”.
“La persona que llamó dijo Hola, la ignoré y luego, unos 10 segundos después, volví a decir Hola”, dijo, y agregó que en ese momento se dio cuenta de que la voz había sido generada por IA “ya que la pronunciación y el espaciado eran demasiado perfectos”.
Mitrovic escribió que colgó y volvió a llamar a ese número. Luego recibió un mensaje que decía: “Esto es Google Maps, en este momento no podemos atender su llamada”.
El investigador dijo que no era el único que parecía haber sido casi estafado, y encontró a otros que escribieron que habían sido objeto de un esquema similar.
“Existen muchas herramientas para luchar contra los estafadores, sin embargo, a nivel individual la mejor herramienta sigue siendo la vigilancia, realizando las comprobaciones básicas mencionadas anteriormente o buscando la ayuda de alguien de confianza”, advierte Mitrovic.
Según la publicación del blog, el investigador dijo que había varios indicios que sugerían que podría haber sido un intento de apoderarse de su cuenta de Google o Gmail.
Mitrovic señaló que las señales reveladoras de una estafa incluyen que recibió mensajes de recuperación de cuenta que no inició, Google no llama a los usuarios a menos que tengan un perfil comercial de Google, el correo electrónico que recibió tenía una «Dirección de correo electrónico no conectada a un dominio de Google», no había otras sesiones activas de Google aparte de la suya, el encabezado del correo electrónico mostraba «cómo se falsificó el correo electrónico» y una «búsqueda de número inversa mostró a otras personas que recibieron la misma llamada fraudulenta».
“A pesar de las muchas señales de alerta que se desprenden al analizarlas más de cerca, esta llamada parecía lo suficientemente legítima como para engañar a muchas personas”, advirtió. “Supongo que la tasa de conversión de llamadas respondidas sería relativamente alta”.
El lunes, The Epoch Times contactó a Google para solicitarle comentarios sobre la advertencia de Mitrovic y Tan, pero no recibió respuesta al momento de la publicación.
