Sitios falsos de IA, una nueva tendencia criminal

Investigadores del equipo X‑Ops de Sophos han identificado una campaña que explota el creciente interés por la Inteligencia Artificial para engañar a usuarios mediante un sitio falso que imita el portal oficial de Claude AI, de Anthropic. El dominio claude-pro.com recrea visualmente la página de la versión profesional de Claude y ofrece un supuesto instalador llamado “Claude‑Pro Relay”.

El archivo distribuido contiene código malicioso que emplea la técnica de DLL sideloading, una forma de engañar a componentes legítimos del sistema operativo para cargar malware sin activar las alertas de los antivirus tradicionales. El análisis técnico reveló la presencia de un nuevo backdoor, denominado Beagle, que, una vez instalado, establece comunicación con servidores remotos para extraer archivos, ejecutar órdenes y manipular directorios en los equipos comprometidos.

Otra campaña basada en IA que apunta a millones de usuarios

La operación conocida como UNC6032, atribuida a un grupo de cibercriminales con sede en Vietnam, utilizó anuncios falsos en Facebook y LinkedIn para promocionar supuestas herramientas de generación de video impulsadas por IA, como Luma AI, Canva Dream Lab y Kling AI. Descubierta en 2024 por investigadores de Mandiant, división de ciberseguridad de Google, la campaña afectó a más de 2,3 millones de usuarios únicamente en la Unión Europea.

El esquema de engaño digital se desarrolló en tres fases principales:

• Fase 1 – Compra de anuncios fraudulentos: los atacantes adquirieron miles de anuncios en redes sociales utilizando cuentas corporativas robadas, promocionando versiones de escritorio de las plataformas de IA.
• Fase 2 – Redirección a sitios falsos: al hacer clic, los usuarios eran llevados a más de 30 páginas web que imitaban el diseño visual de las compañías reales, donde se ofrecía la descarga de un archivo comprimido.
• Fase 3 – Instalación del malware: el archivo, con nombres engañosos como video_ai.mp4.exe, se ocultaba dentro de procesos legítimos de Windows, evadiendo muchos antivirus. Al ejecutarse, activaba dos componentes maliciosos: uno que registraba pulsaciones de teclado y otro que revisaba navegadores para extraer contraseñas, carteras de criptomonedas y datos de tarjetas de crédito. La información robada se enviaba a los atacantes mediante chats privados en Telegram.

El auge del “vibe hacking”

Ante la velocidad y sofisticación de estos ataques, algunos investigadores han acuñado el término vibe hacking para describir campañas en las que agentes autónomos de IA diseñan y ejecutan ataques completos. En lugar de escribir código manualmente, los ciberdelincuentes proporcionan instrucciones generales a un modelo de IA, que genera variantes únicas de código malicioso, dificultando su detección por sistemas tradicionales basados en firmas.

Según Miles Brundage, investigador del Future of Humanity Institute de la Universidad de Oxford, la IA permitirá “ataques a gran escala, altamente dirigidos y eficientes”. Jeremy Jurgens, director general del Centro de Tecnologías de Frontera e Innovación y del Centro de Ciberseguridad del Foro Económico Mundial, ha señalado que “el fraude se ha convertido en el tejido conectivo del riesgo cibernético”. La capacidad de producir correos de phishing personalizados en minutos, frente a las horas que requería un humano, evidencia cómo la IA está impulsando la industrialización del crimen digital.

Mira tambien: