Actores maliciosos han comenzado a utilizar herramientas de Inteligencia Artificial (IA) generativa de voz para engañar a los usuarios haciéndose pasar por el servicio técnico de Google, obtener la aprobación de los usuarios y apoderarse de sus cuentas de Gmail.
El experto en productos de seguridad de Microsoft y fundador de la consultora CloudJoy, Sam Mitrovic, ha advertido que los ciberdelincuentes han logrado hacerse con identificadores de llamada asociados a la compañía para parecer legítimos y ponerse en contacto con los usuarios.
El fraude, del que Mitrovic fue objetivo, se originó al recibir una notificación para aprobar un intento de recuperación de cuenta de Gmail, cuya solicitud se originó en Estados Unidos. Tras rechazarla y pasados unos 40 minutos, recibió una llamada, que se identificó en su terminal como 'Google Sídney'.
Una semana después, el experto volvió a recibir otra notificación para aprobar la recuperación de su cuenta de Gmail, también desde Estados Unidos. Tras descartarlo, volvieron a llamarle con un número australiano pasada la media hora, tal y como ha explicado en su blog.
Esta vez sí la respondió y, al otro lado, se escuchó una voz con acento americano, «muy educada y profesional». Tras presentarse como un profesional del servicio técnico de Google, le comentó que se había detectado una actividad sospechosa en su cuenta de correo electrónico.
Tras realizar tratar de conocer cierta información, como saber si Mitrovics está de viaje, el presunto operador de Google le indicó que alguien había tenido acceso a su cuenta de Gmail durante una semana y que había descargado sus datos, un lapso de tiempo que coincidía con la llamada anterior.
El experto en ciberseguridad comprobó en la página web oficial de Google que el número asociado al servicio de soporte de la firma correspondiente a Australia era el mismo que reflejaba su teléfono móvil.
No obstante, para comprobar la legitimidad de la llamada, solicitó al operador que le enviase un correo electrónico en el que se indicara la presunta incidencia registrada en su cuenta y así lo hizo, con un remitente que incluia un dominio de Google.
A pesar de ello, el investigador admitió que era consciente que era relativamente sencillo falsificar tanto un número de teléfono -a pesar de que durante la llamda se escuchaba de fondo un ruido similar al de cualquier centro de llamadas- como un correo electrónico.
Así, advirtió que en el campo 'Para' se incluía una dirección de correo electrónico con un dominio que no pertenece a la firma 'googlemail@internalcasetracking.com'. Por otra parte, durante el curso de la llamada descubrió que ésta se podría estar generando con una herramienta de IA «porque la pronunciación y el espaciado» entre una palabra y otra «eran demasiado perfectos».
Una vez colgó al presunto servicio técnico, accedió al apartado de Actividad de inicio de sesión en su perfil de Gmail, incluido en la opción 'Administrar su cuenta de Google', donde vio que las únicas sesiones de inicio de sesión eran las suyas.
Después revisó de nuevo el correo electrónico que había recibido y vio cómo se falsificó la dirección de correo electrónico del remitente utilizando Salesforce CRM, que les permite configurar la dirección del remitente y enviar las comunicaciones a través de los servidores de Gmail y Google.
Para rematar su investigación, comprobó que otros usuarios de Reddit habían recibido un correo electrónico similar al suyo y que usó la herramienta de búsqueda inversa de teléfonos Reverse Australia con el número de teléfono del remitente. Entonces, descubrió que otro usuario había caído en la estafa al creer que se trataba de una comunicación legítima.
En este sentido, ha comentado que, si hubiera permanecido en la llamada el tiempo suficiente, habría optado por aprobar la notificación de recuperación de la cuenta, debido a que tanto la persona como el número de teléfono y el correo electrónico utilizado para la campaña no parecían falsos. Con este permiso, los ciberdelincuentes habrían obtenido su control.
Asimismo, ha apuntado cuáles son los indicios gracias a los cuales determinó que se trataba de un posible ataque, como la recepción de notificaciones de recuperación de cuentas que no inició o la inexistencia de sesiones activas en su cuenta de Google aparte de la que estaba utilizando. Finalmente, ha recordado que Google no llama a los usuarios de Gmail si no disponen de un perfil comercial.