La variedad de herramientas basadas en modelos de inteligencia artificial disponible actualmente motiva a muchas personas a probar diferentes opciones que puedan ser de utilidad y alivianar tareas cotidianas, simples o no tanto. Y adonde van grandes grupos de usuarios, allí se asoman también los ciberatacantes, pues a mayor cantidad de gente, más oportunidades de que una estafa cuele.
En este caso se trata de una campaña dirigida a usuarios de Facebook, que tiene como objetivo que se descarguen versiones de escritorio supuestamente oficiales de software de IA popular como ChatGPT 5, DALL-E 3, Midjourney, Sora AI, Evoto, CapCut, Gemini AI, Photo Effects Pro y muchos otros, pero que en realidad esconden archivos malignos que luego les sirven a los delincuentes para robar información personal, cometer fraudes financieros, espionaje o lanzar otros tipos de malware.
Los expertos de la compañía de ciberseguridad Bitdefender han revelado, en el marco de esta investigación, que una página de Facebook que se hacía pasar por Midjourney, en un solo anuncio –dirigido a hombres europeos de 25 a 55 años– tuvo un alcance de 500.000 usuarios. Estiman que millones de personas se han visto potencialmente afectadas por esta campaña.
La estrategia
Bitdefender Labs ha publicado un detallado informe donde explica el accionar de estos piratas digitales. En primer lugar, hackean y se apropian de perfiles existentes de Facebook, para luego modificar las fotos, portada y descripciones, para que parezca que están administrados por las empresas originales de software de IA.
El siguiente paso es aumentar la legitimidad de la página con noticias y fotografías generadas por IA sobre las novedades de las empresas suplantadas. A partir de allí comienzan a publicar anuncios que promocionan servicios y mejoras del software de inteligencia artificial, junto con llamadas a la acción para hacer clic en enlaces que brindan acceso gratuito o pruebas de la herramienta. Pero esos enlaces esconden contenido malicioso que infecta los sistemas con ladrones de información.
Y aquí aparecen dos variantes. La primera de las técnicas detectadas redirige a los usuarios a enlaces de Dropbox y Google Drive. La otra, consiste en más de una docena de sitios web maliciosos creados por los delincuentes, que imitan la página de inicio oficial para atraer a los usuarios a descargar la última versión del servicio a través de un enlace de GoFile.
Uno de los casos de mayor alcance que reveló esta investigación es el del perfil de Facebook que se hacía pasar por sitio oficial de Midjourney. La página tenía 1,2 millones de seguidores y se mantuvo activa durante casi un año, hasta que fue cerrada el 8 de marzo de 2024. A partir de entonces, los ciberatacantes siguieron creando nuevas páginas fraudulentas para continuar con su objetivo y mostrar publicaciones con enlaces maliciosos a los usuarios.
Este tipo de anuncios patrocinados por Meta se han detectado en Alemania, Polonia, Italia, Francia, Bélgica, España, Países Bajos, Rumania, Suecia, entre otros lugares.
Malware como servicio
La investigación de Bitdefender ha hallado en esta campaña los malware Rilide Stealer, Vidar Stealer, IceRAT y Nova Stealer, ladrones intrusivos que recopilan información confidencial de los sistemas comprometidos, incluidas credenciales, datos de autocompletar, información de tarjetas de crédito e incluso información de billeteras criptográficas.
Todo este software malicioso se puede conseguir en foros de la web oscura o grupos de Telegram, ofrecido como negocio en forma de lotes como malware como servicio (MaaS), multiplicando exponencialmente los riesgos, al poner en manos de actores inexpertos todo lo necesario para realizar ataques, robar información, interrumpir operaciones, exigir rescates y otras actividades delictivas.
Para este caso y muchos otros, Bitdefender pone a disposición de los usuarios su chatbot gratuito creado para detectar estafas, basado en IA en línea. Se llama Scamio, simplemente se deberán describir los detalles de la acción sospechosa y proporcionar información como capturas de pantalla o enlaces, para recibir un análisis instantáneo, con recomendaciones y pasos a seguir.