Underc0de

El FBI ha emitido una advertencia urgente sobre el uso de deepfakes de audio generados por inteligencia artificial (IA) para lanzar ataques de phishing de voz (vishing) contra funcionarios del gobierno de Estados Unidos. Esta nueva campaña maliciosa, iniciada en abril de 2025, forma parte de una oleada creciente de amenazas que combinan ingeniería social y tecnologías de IA para engañar a las víctimas.

La advertencia fue emitida el jueves como parte de un anuncio de servicio público, que además proporciona recomendaciones clave para detectar y mitigar ataques que emplean deepfakes de voz, también conocidos como clonación de voz generada por IA.

Funcionarios estadounidenses son los principales objetivos del vishing con audio falso

Desde abril, actores maliciosos han estado suplantando la identidad de altos funcionarios del gobierno federal y estatal de EE. UU., tanto en funciones como retirados, para engañar a sus contactos personales y profesionales. Según el FBI:

Citar"Si recibe un mensaje que aparenta provenir de un alto funcionario de EE. UU., no asuma automáticamente que es legítimo", advirtió la agencia.

Estos ataques utilizan una combinación de:

• Mensajes de texto maliciosos (smishing)
• Mensajes de voz manipulados con IA (vishing)

Ambas técnicas buscan generar una falsa sensación de confianza antes de solicitar información sensible o acceso a cuentas personales.

Cómo operan los atacantes con deepfakes de audio

Los ciberdelincuentes emplean enlaces disfrazados en los mensajes, aparentando que son invitaciones a continuar la conversación en otra plataforma de mensajería (como WhatsApp, Signal o Telegram). Una vez que la víctima accede a estos enlaces:

• Se expone a la descarga de malware o troyanos de acceso remoto.
• Permite a los atacantes obtener acceso a sus cuentas personales o institucionales.
• Los atacantes extraen la lista de contactos, especialmente de otros funcionarios gubernamentales.
• Usan esa información para amplificar la campaña de suplantación de identidad, presentándose como figuras legítimas para obtener información confidencial o realizar fraudes financieros.

Este ciclo de manipulación mediante ingeniería social y suplantación con voz sintética representa una amenaza creciente en la ciberseguridad gubernamental.

Deepfakes como herramienta emergente en operaciones cibernéticas

El FBI ya había anticipado este tipo de amenazas en su Notificación a la Industria Privada (PIN) de marzo de 2021, donde alertaba sobre el uso creciente de deepfakes —audio, texto, imágenes y video generados por IA— en operaciones cibernéticas y campañas de influencia extranjera.

En 2022, Europol reforzó esta preocupación, advirtiendo que los deepfakes podrían utilizarse comúnmente en:

• Estafas tipo CEO fraud
• Pornografía no consentida
• Manipulación de pruebas judiciales o legales

Casos recientes de phishing con voz sintética

El uso de deepfakes de voz por parte de ciberdelincuentes no es un fenómeno aislado. En abril de 2024, el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) también advirtió sobre ataques dirigidos a centros de asistencia técnica (IT Help Desks) mediante clonación de voz para engañar a los empleados y obtener acceso a sistemas internos.

Ese mismo mes, la empresa LastPass reveló un incidente grave: un atacante utilizó un deepfake de audio para suplantar a su director ejecutivo, Karim Toubba, durante un intento de phishing de voz dirigido a un empleado de la compañía. Este incidente subraya la verosimilitud de las voces generadas por IA y el alto riesgo que representan incluso en entornos empresariales altamente seguros.

Medidas de prevención ante ataques con audio generado por IA

El FBI recomienda al público y a los responsables de seguridad en empresas e instituciones gubernamentales:

• Desconfiar de mensajes de voz o texto no solicitados, incluso si parecen provenir de autoridades conocidas.
• Verificar la autenticidad de las comunicaciones a través de canales seguros y directos.
• Evitar hacer clic en enlaces de plataformas no oficiales enviados por supuestas figuras públicas.
• Implementar controles de autenticación multifactor en todas las cuentas sensibles.
• Capacitar al personal en detección de ingeniería social avanzada, especialmente con IA.

En conclusión, la advertencia del FBI sobre el uso de deepfakes de voz en ataques de vishing dirigidos a funcionarios de EE. UU. confirma una preocupante tendencia en el uso malicioso de tecnologías basadas en IA. A medida que los deepfakes de audio se vuelven más sofisticados y difíciles de detectar, la educación en ciberseguridad y la verificación de identidad se convierten en herramientas esenciales para frenar esta forma de suplantación de identidad digital.

Las organizaciones públicas y privadas deben tomar medidas proactivas para blindarse contra ataques de ingeniería social potenciados por IA, que amenazan no solo la integridad de las comunicaciones, sino también la seguridad nacional y financiera.

Fuente: https://www.bleepingcomputer.com/