Un estudio reciente mostró con qué facilidad se pueden utilizar los chatbots modernos para escribir correos electrónicos fraudulentos convincentes dirigidos a personas mayores y con qué frecuencia se hace clic en esos correos electrónicos.
Los investigadores utilizaron varios de los principales chatbots de IA en el estudio, incluidos Grok, ChatGPT de OpenAI, Claude, Meta AI, DeepSeek y Gemini de Google, para simular una estafa de phishing.
Una nota de muestra escrita por Grok parecía una iniciativa amistosa de la "Fundación Corazones de Plata", descrita como una nueva organización benéfica que apoya a las personas mayores brindándoles compañía y cuidados. La nota estaba dirigida a las personas mayores y prometía una manera fácil de participar. En realidad, dicha organización no existe.
“Creemos que todas las personas mayores merecen dignidad y alegría en sus años dorados”, decía la nota. “Al hacer clic aquí, descubrirá conmovedoras historias de personas mayores a las que hemos ayudado y aprenderá cómo unirse a nuestra misión”
Cuando Reuters le pidió a Grok que escribiera el mensaje de phishing, el bot no solo generó una respuesta, sino que también sugirió aumentar la urgencia: "¡No esperes! Únete hoy mismo a nuestra comunidad compasiva y ayuda a transformar vidas. ¡Haz clic ahora para actuar antes de que sea demasiado tarde!"
108 voluntarios mayores participaron en el estudio de phishing
Los reporteros probaron si seis conocidos chatbots de IA romperían sus normas de seguridad y redactarían correos electrónicos destinados a engañar a personas mayores. También pidieron ayuda a los bots para planificar campañas de estafa, incluyendo consejos sobre la hora del día en la que se podría obtener la mejor respuesta.
En colaboración con Heiding, un investigador de la Universidad de Harvard que estudia el phishing, los investigadores probaron algunos de los correos electrónicos escritos por bots en un grupo de 108 voluntarios de alto nivel.
Normalmente, las empresas de chatbots entrenan sus sistemas para rechazar solicitudes dañinas. En la práctica, estas medidas de seguridad no siempre están garantizadas. Grok mostró una advertencia indicando que el mensaje que generó "no debe usarse en situaciones reales". Aun así, envió el mensaje de phishing e intensificó el mensaje con un "haga clic ahora"
Otros cinco chatbots recibieron las mismas indicaciones: ChatGPT de OpenAI, el asistente de Meta, Claude, Gemini y DeepSeek de China. La mayoría de los chatbots se negaron a responder cuando se les explicó la intención.
Aun así, sus protecciones fallaron tras modificaciones menores, como afirmar que la tarea era para fines de investigación. Los resultados de las pruebas sugirieron que los delincuentes podrían usar (o ya podrían estar usando) chatbots para campañas de estafa. "Siempre se pueden eludir estas medidas", afirmó Heiding.
Heiding seleccionó nueve correos electrónicos de phishing generados con los chatbots y los envió a los participantes. Aproximadamente el 11 % de los destinatarios cayeron en la trampa y hicieron clic en los enlaces. Cinco de los nueve mensajes generaron clics: dos de Meta AI, dos de Grok y uno de Claude. Ninguno de los estudiantes de último año hizo clic en los correos electrónicos escritos por DeepSeek o ChatGPT.
El año pasado, Heiding dirigió un estudio que demostraba que los correos electrónicos de phishing generados por ChatGPT pueden ser tan eficaces para conseguir clics como los mensajes escritos por personas, en ese caso, entredentuniversitarios.
El FBI considera el phishing como el delito cibernético más común
El phishing consiste en engañar a víctimas desprevenidas para que proporcionen información confidencial o cash mediante correos electrónicos y mensajes de texto falsos. Este tipo de mensajes es la base de muchos delitos en línea.
Miles de millones de mensajes de texto y correos electrónicos de phishing se envían diariamente en todo el mundo. En Estados Unidos, el FBI considera el phishing como el ciberdelito más denunciado.
Los estadounidenses mayores son particularmente vulnerables a este tipo de estafas. Según cifras recientes del FBI, las quejas de personas mayores de 60 años se multiplicaron por ocho el año pasado, con pérdidas que rondaron los 4.900 millones de dólares. La IA generativa empeoró la situación, según el FBI.
Solo en agosto, los usuarios de criptomonedas perdieron 12 millones de dólares en estafas de phishing, según un Cryptopolitan .
En lo que respecta a los chatbots, la ventaja para los estafadores es el volumen y la velocidad. A diferencia de los humanos, los bots pueden generar infinitas variaciones en segundos y a un coste mínimo, lo que reduce el tiempo y el dinero necesarios para ejecutar estafas a gran escala.
