El aprendizaje de máquinas podría crear con facilidad mensajes de 'phishing' personalizados que parezcan escritos por personas. Investigadores y empresas lo estudian de cara a buscar soluciones
El mes pasado, algunas personas que tuiteaban sobre Pokémon Go se convirtieron en sujetos involuntarios de un experimento que podría presagiar un nuevo y alarmante tipo de ataque en línea.
Los investigadores del sector han entrenado un software de aprendizaje de máquinas para que escribiese tuits como si fuese una persona y respondiese a ciertas personas utilizando el hashtag #Pokemon. Se trataba de una forma de demostrar cómo los avances en software de reconocimiento del lenguaje podrían utilizarse para enganchar a las personas por internet. Grosso modo, una tercera parte de la población objetivo del software clicaron en un enlace benigno enviado por el software para probar el poder de convicción del software.
Según el científico de datos sénior John Seymour, de la empresa de seguridad ZeroFOX, eso supone mucho más que el 5 o 10% habitual que logran los mensajes automáticos de phishing o suplantación de identidad, los cuales pretenden engañar a la gente para que haga clic en unos enlaces que descargan malware o roban contraseñas. Según afirma, el sistema de aprendizaje automático alcanza una tasa de éxito de aproximadamente del 40% de mensajes de spear phising , una variante del phishing pensada para engañar a una persona específica.
"El spear phising es una tarea bastante manual y requiere dedicar un tiempo para cada objetivo", afirma Seymour. "Esta nueva técnica es casi igual de precisa y se realiza de forma automática, por lo que podría usarse a una escala mucho más grande". Para él, aunque no todos los tuits están muy logrados, son efectivos. Algunas personas incluso respondieron diciendo que el enlace estaba caído y que querían que se lo enviaran de nuevo.
Seymour presentó los resultados de su experimento junto con su compañero Phil Tully durante la conferencia de seguridad informática Black Hat, la semana pasada en Las Vegas (EEUU). Ambos afirman que su trabajo muestra cómo la tecnología de aprendizaje automático podría permitir que los criminales mejorasen su porcentaje de ataques exitosos.
Tanto el phising como el spear phising son ya problemas considerables. Cisco informó el año pasado que los mensajes de phising enviados a través de Facebook eran las principales causas de acceso no autorizado a redes corporativas.
El software de los investigadores de ZeroFOX, llamado SNAP_R, puede funcionar en de dos maneras. En una de ellas utiliza la misma técnica de inteligencia artificial y aprendizaje profundo que emplean empresas como Google para que sus sistemas entiendan y traduzcan el lenguaje. Fue entrenada con más de un millón de tuits, lo que permitió que generase sus propias actualizaciones realistas de forma autónoma.
El segundo modo del sistema está más dirigido. Aprende cómo tuitear analizando los tuits más recientes de la gente y los inserta en una técnica más antigua conocida como cadena de Márkov. Esto le permite generar tuits similares a los que escribiría la persona objetivo, de forma que podría hacer clic pensando que se trata de un mensaje escrito por alguien con intereses similares.
SNAP_R también puede identificar a las personas más influyentes y activas que estén hablando sobre un tema en concreto o que estén utilizando un hashtag específico. Por ejemplo, puede buscar la palabra "CEO" en el perfil de una persona e identificar ciertos indicadores como el número de seguidores que tiene. ZeroFOX va a lanzar una versión del software que permita a los investigadores pensar acerca del potencial de este tipo de ataques y sobre cómo protegerse de ellos.
Foto: El software ZeroFOX generó estos tuits para intentar engañar a los usuarios de Twitter. Crédito: Imagen cedida por ZeroFOX.
El vicepresidente de investigación de seguridad de la empresa de seguridad móvil Lookout, Mike Murray, considera que la perspectiva de utilizar el aprendizaje automático para automatizar el proceso de engañar a la gente a través de internet es "aterradora". Sin embargo, cree que todavía tardará un tiempo en utilizarse para perpetrar ataques reales.
A pesar de los últimos avances, las mejores técnicas de aprendizaje automático todavía necesitan unos conocimientos específicos, y aún están lejos de poder generar lenguaje a la perfección. Google es uno de los líderes en lo referente a aprendizaje y lenguaje automáticos. Pero según señala Murray, su aplicación Inbox (capaz de generar respuestas para correos electrónicos) solo sugiere respuestas cortas de una sola frase. "Si Google no es capaz de generar más que una frase, probablemente yo no pueda generar un correo electrónico de phising de buena calidad".
Tully, de ZeroFOX, tampoco predice que mañana se vaya a generalizar el uso criminal de spear phising automatizado. Sin embargo, argumenta que los algoritmos de aprendizaje automático cada vez son más fáciles de utilizar, y no requieren manejar a la perfección el lenguaje para tener éxito en las redes sociales. Según Tully, la gente que utiliza Twitter espera interactuar con gente desconocida, y también espera encontrarse con sintaxis no demasiado elaboradas. "La cultura en Twitter es muy permisiva, así que no hace falta tener ni un inglés ni una gramática perfecta", explica.