Los estafadores de correo electrónico están utilizando herramientas de Inteligencia Artificial (IA) para crear y lanzar campañas masivas de spam en lugar de ataques selectivos avanzados, según una nueva investigación de las Universidades de Columbia y Chicago, con apoyo de los datos de detección de amenazas de Barracuda Networks. Los resultados muestran que el 51% de los mensajes de spam está generado por IA, en comparación con el 14% de los ataques de compromiso de correo electrónico empresarial (BEC), aunque en ambos casos el uso de esta tecnología está aumentando.
Los investigadores analizaron un gran conjunto de datos de Barracuda a través de correos electrónicos no solicitados y maliciosos que abarcaba desde febrero de 2022 hasta abril de 2025. Los resultados muestran datos realmente preocupantes que se sintetizan en que en abril de este año el 51% de los mensajes de spam fueron generados por IA en lugar de por humanos y el 14% de los ataques BEC fueron generados por este TIC, el aumento constante del contenido generado por ella tanto en el spam como en los ataques de correo electrónico comercial comprometido (BEC) tras el lanzamiento de ChatGPT en noviembre de 2022 o los correos electrónicos generados por IA suelen ser más formales, utilizar un lenguaje más sofisticado y tener menos errores gramaticales que los escritos por humanos.
Efectividad
Los atacantes parecen estar utilizando la IA para probar variaciones de palabras con el fin de ver cuáles son más eficaces para evadir las defensas y animar a más objetivos a hacer clic en los enlaces, así como para refinar el contenido de sus correos electrónicos más que para cambiar las tácticas de sus ataques.
“Determinar si la IA se ha utilizado en ciberataque o cómo se ha utilizado es un reto difícil, ya que sólo podemos ver el ataque, pero no sabemos cómo se generó”, afirma Asaf Cidon, profesor asociado de Ingeniería Eléctrica e Informática de la Universidad de Columbia. “Nuestro análisis sugiere que en abril de 2025 la mayoría de los correos spam no fueron escritos por humanos, sino por IA. Para los ataques más sofisticados, como el Business Email Compromise (BEC), que requieren un ajuste más cuidadoso del contenido al contexto de la víctima, la gran mayoría de los correos electrónicos siguen siendo generados por humanos, pero el volumen que es generado por IA está aumentando de manera constante y consistente”, explican.
El enfoque utilizado por los investigadores para detectar la implicación de la IA se basó en la suposición de que los correos electrónicos enviados antes de la publicación de ChatGPT en noviembre de 2022 probablemente habían sido creados por humanos. Esto les permitió establecer una línea de base y entrenar detectores para identificar automáticamente si un correo electrónico malicioso o no solicitado se había generado utilizando IA.
Para defenderse de las cambiantes amenazas del correo electrónico, Barracuda recomienda implementar una protección avanzada, multicapa y basada en IA, junto con formación en ciberseguridad para que los empleados conozcan las últimas tácticas de ataque y las amenazas a las que deben prestar atención.
Castilla y León Económica
