El phishing es una práctica común que utilizan los timadores: suplantan la identidad de una empresa para hacerse con tus datos personales o tu dinero. Sin embargo, los métodos de engaño evolucionan constantemente. En Facebook, hemos detectado publicaciones de phishing en las que los timadores no suplantan directamente a una marca, sino que se hacen pasar por una persona real que, supuestamente, ha trabajado en una empresa reconocida y quiere compartir una oferta exclusiva para empleados. Además, utilizan imágenes generadas con inteligencia artificial para hacer el timo más convincente.
Los timadores se hacen pasar por una persona real e inventan situaciones ficticias para intentar colártela
Desde Maldita.es ya hemos desmentido algunos casos, por ejemplo, el de una chica en Facebook que decía que, dado que habían despedido a su madre de Primor, ella quería compartir un enlace para comprar productos de la tienda a menor precio. Es decir, la publicación se difunde con una historia ficticia de despido y una supuesta oferta.
“Mi madre fue despedida de Primor después de cinco años por problemas de salud. Así que quiero compartir algo que normalmente sólo saben los empleados y sus familias…”, afirma el mensaje que incluye esta publicación en Facebook.
Otro ejemplo es el de una publicación con la que, supuestamente, puedes conseguir el robot de cocina Thermomix de la empresa Vorwerk por tan sólo 1,95 euros. Sin embargo, es un timo. Este contenido fue publicado en Facebook con el mensaje: “Después de dedicarle 4 años a la empresa, ayer me enteré de que me despidieron por problemas de salud. Fue un shосk. Реrо аhоrа que ya no tengo ningún vínculo cоn eІІos, рuеdо соntar algо quе muchos ni siquiera іmagіnan…”.
También una publicación en la misma red social (que al momento de publicación de este artículo ha sido eliminada) aseguraba: “Mi hermana chamba en Pandora y me contó de una promo bien rifada que casi nadie sabe. Cualquiera puede llevarse una pulsera por solo ¡43 pesos!...”.
Otro timo detectado afirma: “Trabajé en Decathlon durante más de seis años, y la semana pasada me despidieron solo por negarme a trabajar en mi día libre. Y sabes qué? Que les den. Hay una especie de ‘truco’ en Decathlon con el que puedes conseguir una mochila de North Face solo por dejar una reseña y pagar un par de euros (sic)”.
Todos estos contenidos tienen algo en común: se hacen pasar por una persona real (un extrabajador o familiar de extrabajador) y crean historias ficticias para intentar colártela.
Cómo los timadores usan IA para generar imágenes que después utilizan en ataques de phishing
Algunos timos emplean inteligencia artificial para generar imágenes, ya sea fotos de perfil, imágenes de productos o algún otro recurso.
Esta es una técnica que, según explica a Maldita.es Javier Huertas, experto en inteligencia artificial, profesor en la Universidad Politécnica de Madrid y miembro del grupo de investigación NLP-DL (Natural Language Processing and Deep Learning), “no es tan fácil como escribir un prompt” (instrucciones que se dan a modelos de inteligencia artificial como ChatGPT o DALL-E a partir de las que elaboran sus respuestas), pero se realiza “para evitar la búsqueda inversa de la imagen”, un método que permite encontrar información o páginas web relacionadas partiendo desde la imagen que ya se tiene.
Por ejemplo, el experto señala que la imagen que se difunde con el timo de Primor y la supuesta caja misteriosa que se está regalando fue generada con IA. Algunas de las señales que lo indican son, por ejemplo, que “el ticket mezcla español e inglés sin motivo”. También los logos de las marcas que se repiten en la imagen no son idénticos: “Hay textos rotos (como en el envase rosa, o en el texto que aparece en la parte baja del producto de Clinique) y dimensiones raras (como la caja de la marca Blush encima de la de Radiant Lift, o la forma de la caja amarilla)”.
Huertas señala que la definición del ticket de compra en la imagen es altísima: “Creo que el ticket está manipulado por edición de fotografía (no solo IA) casi sin lugar a dudas”.
Otra técnica detectada por el experto es que los timadores han intentado ocultar que la imagen está generada con IA al comprimir la imagen: “Esto no sólo hace que el texto sea difícil de leer para un humano (lo que suele delatar a muchos contenidos creados con IA), sino que comprimir la imagen suele confundir a detectores automáticos de imagen generativa” (que, en cualquier caso, no son infalibles).
Al realizar búsqueda en inversa de la imagen, encontramos otros ejemplos de la misma foto en los que lo único que cambia es la marca que aparece en el ticket de pago.
A este respecto, Liany Mendoza, experta en desarrollo de software, interacción humano - computadora, dijo que “buscar si una imagen está generada con IA puede ser complicado, especialmente cuando están bien hechas”. En particular, sobre esta imagen de cosméticos que se ha difundido con diferentes tickets de compra, la experta señala que se les ha editado el comprobante y eso se puede hacer con “cualquier herramienta de edición de imagen, por ejemplo Photoshop, o la misma IA”.
Los timadores modifican las imágenes para evitar la búsqueda inversa
Javier Huertas explica que las fotos “personales” que incluye el perfil de Facebook desde donde se publicó el timo de Primor “parecen legítimas pero con bastante Photoshop por encima”. “Puede ser que hayan colocado la cara de alguien encima de otra persona”, añadió.
Es el caso de la imagen de perfil de la cuenta de Facebook que compartió la publicación sobre Primor. “Creo que es una persona real, pero el estafador ha flippeado [volteado] la imagen, fijaos en la imagen que sale con un póster. ¿Parece que el texto está mal? no, está perfectamente, solo que al revés. Creo que esto es para burlar la búsqueda en inversa de la imagen”. explica.
Por qué los timadores están usando un “caso real” en las publicaciones de phishing
Los timos evolucionan todo el tiempo. Ahora, los timadores crean perfiles de Facebook que parecen reales para intentar timarte. Javier Huertas explica que la política en Facebook obliga al usuario a crearse un perfil con sus datos personales antes de poder crear una página de empresa.
“La única alternativa es adoptar un seudónimo, mote o similar. Por tanto, los estafadores están 'obligados' a pasar por ese aro. Creo que es más fácil hacerse pasar por alguien que replicar por completo la marca en una página”, explica.
El experto afirma que hay un patrón en la manera en que se están realizando estos timos: la limitación de que no se puede crear una cuenta de empresa (sólo páginas corporativas asociadas a cuentas personales, es decir, es necesario tener un perfil de Facebook para crear una página a una empresa) provoca que se creen perfiles personales. Una vez que se ha suplantado la identidad de alguien hay que hacer que sea creíble, “así que el estafador debe ir 100% a que su perfil parezca totalmente legítimo si quiere que alguien pique”, menciona.
Huertas hace hincapié en que es importante fijarse en los perfiles de los usuarios que comentan en las publicaciones donde se promociona un producto, pues ahí se encuentran más señales que podrían indicarnos si se trata de un timo o no.
En este artículo ha colaborado Liany Mendoza, experta en desarrollo de software, interacción humano - computadora, e integrante de MigraVoice.
MigraVoice es una comunidad transfronteriza de personas expertas migrantes o con contexto migratorio que se ponen a disposición de periodistas de medios europeos como fuentes de conocimiento de confianza. Si quieres aportar tu conocimiento a los medios de comunicación europeos, puedes registrarte aquí. Si eres periodista, y deseas consultar a las personas expertas de MigraVoice, puedes unirte aquí.
