Así utilizan ChatGPT los ciberdelincuentes para sus actividades maliciosas

Sophos ha publicado en un informe nuevos hallazgos sobre las estafas CryptoRom, un subconjunto de esquemas de “pig butchering” (sha zhu pán) diseñados para engañar a los usuarios de aplicaciones de citas para que realicen falsas inversiones en criptomonedas. Desde mayo, Sophos X-Ops ha observado que los estafadores de CryptoRom han perfeccionado sus técnicas, añadiendo a su herramientas del uso de una chat de IA, como ChatGPT. Los estafadores también ampliaron sus tácticas de coacción diciendo a las víctimas que sus cuentas de criptomonedas fueron hackeadas y que se necesita más dinero por adelantado. El equipo de operaciones cruzadas (X-Ops) de SophosLabs descubrió además que los estafadores habían sido capaces de colar siete nuevas aplicaciones falsas de inversión en criptomonedas en las tiendas oficiales de Apple App y Google Play.

Según informa la compañía, Sophos X-Ops tuvo conocimiento por primera vez de que los estafadores de CryptoRom utilizaban la herramienta de chat de IA ("muy probablemente", señala ChatGPT) cuando una víctima estafada se puso en contacto con el equipo. Tras contactar con ella a través de Tandem, una aplicación para compartir idiomas que también se ha utilizado como aplicación de citas, el estafador convenció a la víctima para que trasladara su conversación a WhatsApp. Esta empezó a sospechar tras recibir un largo mensaje que claramente estaba escrito en parte por una herramienta de chat de IA que utilizaba modelos de lenguaje de gran tamaño (LLM, en siglas inglesas).

De esta forma, se confirma su uso en las estafas. Sean Gallagher, director de investigación de amenazas de Sophos, ha subrayado que “eesde que OpenAI anunció el lanzamiento de ChatGPT, se ha especulado ampliamente con la posibilidad de que los ciberdelincuentes utilicen el programa para sus propias actividades maliciosas. Ahora podemos decir que, al menos en el caso de las estafas de “pig butchering”, esto está ocurriendo. Uno de los principales retos para los estafadores con las estafas de CryptoRom es llevar a cabo conversaciones con los objetivos de naturaleza romántica y que sean convincentes y sostenidas; estas conversaciones son escritas en su mayoría por 'teclistas', que se encuentran principalmente fuera de Asia y tienen una barrera lingüística. Utilizar algo como ChatGPT puede ser una forma más eficiente y eficaz de mantener la relación, haciendo que las estafas requieran menos trabajo y sean más auténticas. También permite a los teclistas interactuar simultáneamente con varias víctimas a la vez".

Por otro lado, Sophos X-Ops también descubrió una nueva táctica de los estafadores diseñada para extorsionar dinero adicional. Tradicionalmente, cuando las víctimas de estafas CryptoRom intentan cobrar sus "ganancias", los estafadores les dicen que tienen que pagar un impuesto del 20% sobre sus fondos antes de completar cualquier retirada. Sin embargo, una víctima reciente reveló que después de pagar el "impuesto" para retirar dinero, los estafadores dijeron que los fondos habían sido "pirateados" y que necesitarían otro depósito del 20% antes de recibir los fondos.

Tras una investigación más profunda, Sophos X-Ops encontró siete aplicaciones falsas de inversión en criptomonedas en las tiendas oficiales Google Play y Apple App. Estas, además de aumentar el número potencial de víctimas, podrían funcionar como una herramienta más de la estafa “pig butchering”. Estas aplicaciones tienen descripciones aparentemente inofensivas en las tiendas de aplicaciones (BerryX, por ejemplo, afirma estar relacionada con la lectura). Sin embargo, en cuanto los usuarios abren la aplicación, se encuentran con una interfaz falsa de inversión en criptomonedas.

Para saltarse el proceso de revisión de la App Store de Apple, los desarrolladores de aplicaciones utilizan la misma técnica sobre la que Sophos informó por primera vez en febrero de 2023. Presentan la aplicación para su aprobación utilizando contenido web legítimo y corriente. Una vez aprobada y publicada, modifican el servidor que aloja la aplicación con el código de la interfaz fraudulenta.

Estas nuevas aplicaciones reciclaron las mismas plantillas y descripciones, lo que sugiere que el mismo o los mismos anillos de “pig butchering” están creando el esquema.

Según ha explicado Gallagher, Antes de poder introducir sus aplicaciones en la Apple Store, los estafadores de CryptoRom tenían que utilizar una complicada solución técnica para dirigirse a los usuarios de iOS, lo que podía alertar a sus víctimas de que algo iba mal. Ahora les resulta mucho más fácil dirigirse a los usuarios de iPhone, lo que amplía el número de víctimas. "Estas aplicaciones también son fáciles de reciclar y reutilizar. De hecho, la aplicación BerryX parece estar relacionada con las aplicaciones falsas que descubrimos y bloqueamos a principios de este año", ha señalado.

Sophos ha informado a Google y Apple de estas últimas aplicaciones, pero cree que es probable que aparezcan más. "Estos estafadores son implacables. Hoy dicen a las víctimas que sus cuentas han sido pirateadas para extorsionarles más dinero, pero en el futuro es probable que se les ocurran nuevos métodos de extorsión inicial y doble. La mejor defensa contra la extorsión de víctimas es conocer estas campañas", ha añadido el experto, que anima a los usuarios que sospechen o piensen que pueden haber sido víctimas a "que se pongan en contacto con nosotros".