Estafas con IA: Microsoft alerta sobre campañas de ingeniería social usando marcas falsas

La velocidad con la que la inteligencia artificial generativa se ha integrado en la vida cotidiana de millones de profesionales y entusiastas de la tecnología ha creado un efecto secundario tan inevitable como peligroso: una confianza ciega en las herramientas de última generación. En un escenario donde las estafas con IA han dejado de ser una simple predicción teórica para convertirse en una de las tácticas de ingeniería social más agresivas y efectivas del panorama cibernético actual, los actores de amenazas han encontrado un vector de ataque perfecto. Ya no necesitan vulnerar complejos modelos de lenguaje ni hackear los servidores de OpenAI o Anthropic; en su lugar, simplemente manipulan el deseo de los usuarios por acceder a estas tecnologías.

El 8 de junio de 2026, el equipo de Microsoft Threat Intelligence y el Microsoft Defender Security Research Team emitieron una alerta detallada sobre una preocupante evolución en las operaciones de cibercrimen global. De acuerdo con el informe, diversos grupos criminales están desplegando sofisticadas campañas de distribución de malware de robo de credenciales, fraude de pagos y malvertising bajo el amparo de marcas de IA altamente reconocidas como ChatGPT, Microsoft Copilot, DeepSeek y Claude. Estos ataques no evidencian ninguna vulnerabilidad técnica en los servicios oficiales, sino que explotan la curiosidad, la prisa y la necesidad de “estatus de utilidad” que la IA ha adquirido en los entornos corporativos modernos.

La psicología del engaño: Por qué el “hype” de la IA es el cebo perfecto

Los analistas de ciberseguridad han comenzado a notar un cambio de paradigma en la efectividad de la ingeniería social. Las alarmas tradicionales de facturas vencidas o paquetes perdidos siguen funcionando, pero el gancho de la inteligencia artificial posee un componente motivacional único: la curiosidad activa de los empleados. Las empresas actuales fomentan que sus equipos experimenten con nuevas herramientas para aumentar la productividad, lo que debilita las barreras defensivas naturales de los usuarios frente a solicitudes sospechosas relacionadas con estas plataformas.

Cuando un desarrollador o un creador de contenido lee sobre el lanzamiento inminente de un nuevo modelo de lenguaje, su primer impulso es buscar una forma de probarlo. Al no existir aún un canal de distribución oficial o al estar este restringido por listas de espera, los ciberdelincuentes aprovechan ese vacío de disponibilidad para posicionar instaladores maliciosos en los primeros resultados de búsqueda. Este tipo de manipulación de la intención de búsqueda es letal porque el usuario inicia la interacción de manera voluntaria, buscando proactivamente el archivo que terminará por comprometer su sistema.

La anatomía de las estafas con IA: Casos de estudio de suplantación de marcas líderes

El informe de Microsoft documenta tres estructuras de campaña altamente coordinadas dirigidas contra diferentes perfiles de usuarios:

1. El caso DeepSeek V4: Un ataque relámpago en menos de una hora

El nivel de preparación y la velocidad de respuesta de los grupos cibernéticos quedaron demostrados con el lanzamiento del modelo preliminar de DeepSeek V4. Apenas 45 minutos después de que se hiciera pública la vista previa del modelo, un grupo de atacantes creó una organización y un repositorio falsos en GitHub bajo el nombre “DeepSeek-V4”. Debido a que los creadores legítimos de DeepSeek aún no habían publicado su repositorio de código oficial en dicha plataforma, los delincuentes pudieron posicionarse rápidamente en los primeros lugares de las búsquedas web.

Para lograr la máxima legitimidad visual, el repositorio falso estaba decorado con la marca oficial de la empresa, datos de referencia de rendimiento (benchmarks) reales y etiquetas optimizadas para motores de búsqueda tradicionales y asistentes de búsqueda de IA (utilizando archivos estructurados como llms.txt). Los usuarios que caían en el engaño descargaban archivos comprimidos de formato .7z que supuestamente contenían el código fuente o el instalador del modelo. En realidad, el archivo albergaba un cargador malicioso que, tras ejecutarse, instalaba silenciosamente el conocido malware de robo de información Vidar. Para evitar que las herramientas de detección de firmas bloquearan la campaña, los atacantes cambiaron los hashes de los archivos tres veces en un periodo de tres días.

2. Campañas de facturación falsas de ChatGPT Plus

Otro ataque masivo detectado por la inteligencia de Microsoft involucró el envío de hasta 100,000 correos electrónicos de phishing al día en regiones como Suiza, Austria y Sudáfrica. La estafa se centraba en la supuesta suspensión inminente de la suscripción a ChatGPT Plus debido a un fallo en el método de pago registrado. Los atacantes advertían a las víctimas que si no actualizaban sus credenciales de pago en un plazo de siete días, sus cuentas serían degradadas a la versión gratuita.

Este enfoque explota lo que los investigadores llaman la “paradoja del servicio de utilidad”: los usuarios perciben su suscripción de IA con la misma necesidad crítica con la que ven el suministro eléctrico o la conexión a internet, lo que los impulsa a actuar de manera impulsiva sin verificar la autenticidad del mensaje. Para eludir las defensas de los filtros de correo electrónico empresarial (SEGs), el flujo de phishing dirigía a las víctimas a través de una compleja cadena de redireccionamiento de varias fases que utilizaba infraestructura legítima, como dominios de seguimiento de Amazon. La página de destino final era un clon idéntico del portal de inicio de sesión de ChatGPT diseñado para capturar datos bancarios y de tarjetas de crédito.

3. Apelaciones de cuenta de Claude y tácticas AiTM

Dirigida específicamente a entornos corporativos, una campaña detectada entre el 20 y el 22 de abril de 2026 afectó a usuarios en más de 2,000 organizaciones en todo el mundo. En este caso, los ciberdelincuentes se hicieron pasar por Anthropic para enviar correos electrónicos urgentes notificando que la cuenta corporativa del usuario había sido suspendida por violar los términos del servicio.

El correo incluía un archivo PDF adjunto con nombres como Fill and Sign Claude Appeal Form.pdf. Al abrir el documento y hacer clic en el enlace de apelación, el usuario era dirigido a una página protegida por un sistema de verificación falso de Cloudflare. Detrás de esta pantalla se ocultaba una infraestructura de phishing de tipo Adversario en el Medio (AiTM, por sus siglas en inglés). El sistema AiTM actuaba como un proxy entre la víctima y el servicio de inicio de sesión legítimo de Microsoft, permitiendo a los atacantes capturar no solo las contraseñas, sino también las cookies de sesión activa. Gracias a esto, los delincuentes pudieron eludir por completo los sistemas de autenticación multifactor (MFA) establecidos por los administradores de TI de las empresas afectadas.

Estrategias de evasión avanzada: De la firma de malware a la manipulación del factor humano

La sofisticación técnica detrás de estas estafas con IA reside principalmente en los mecanismos de evasión que los grupos cibernéticos emplean para permanecer fuera del radar de los centros de operaciones de seguridad (SOC) de las empresas. Microsoft destacó dos tácticas que demuestran un profundo conocimiento de las limitaciones de las defensas automatizadas:

La trampa de la casilla “Continuar” para engañar a los sandboxes

El bróker de acceso inicial (IAB) rastreado por Microsoft como Storm-3075 ha estado liderando campañas de malvertising en sitios de transmisión de video gratuito que promocionan un falso complemento del sistema operativo llamado “Awesome AI Windows Plugin”. Tras descargar e iniciar el instalador (con nombres como ProFluxeFlowAi-win-Setup.exe), la instalación se detiene por completo. El programa muestra una ventana emergente simple que solicita al usuario marcar manualmente una casilla que dice “Continuar”.

Aunque parece una interacción mundana e inocua, este paso es en realidad una brillante medida defensiva contra los entornos de análisis automatizados. La mayoría de las herramientas de sandbox corporativas que escanean archivos sospechosos no cuentan con la capacidad de realizar de forma dinámica clics humanos en elementos específicos de la interfaz de usuario. Al no registrar ninguna actividad maliciosa automática durante el escaneo, el sandbox clasifica el archivo como benigno y permite que se ejecute en la red corporativa. Solo cuando una persona real realiza el clic en su máquina local, el instalador activa su carga útil basada en Python para descargar troyanos de acceso remoto (RAT) e infostealers.

El rol de Fox Tempest y la firma de código fraudulenta

La suplantación de la confianza en el sistema operativo Windows representó el otro gran pilar de estas campañas. Hasta mayo de 2026, fecha en que la Unidad de Delitos Digitales (DCU) de Microsoft, en colaboración con socios industriales, logró desmantelar su infraestructura, el grupo cibernético Fox Tempest operaba un rentable servicio clandestino de firma de malware como servicio (MSaaS).

Fox Tempest abusaba del proceso de firma de artefactos de Microsoft para generar certificados digitales legítimos de corta duración (válidos por 72 horas). Los ciberdelincuentes pagaban tarifas elevadas para enviar sus cargas útiles maliciosas a este portal y recibirlas firmadas. Para los sistemas operativos modernos y las soluciones antivirus basadas en la reputación del editor, un archivo con una firma digital válida es considerado confiable, lo que reduce sustancialmente las alertas de seguridad iniciales y permite que el malware se distribuya e instale sin levantar sospechas. Aunque la infraestructura de Fox Tempest fue desmantelada, el impacto de los certificados que facilitó a grupos como Storm-3075 permitió comprometer miles de terminales corporativos antes de la intervención judicial.

Mitigación y defensa: Cómo proteger a las organizaciones frente a la ingeniería social de nueva generación

La sofisticación técnica de estas campañas demuestra que la capacitación tradicional de concientización sobre seguridad cibernética ya no es suficiente por sí sola. Las empresas deben estructurar una estrategia de defensa multicapa basada en la resiliencia técnica y del factor humano:

• Implementar MFA robusto y resistente al phishing: Las soluciones tradicionales de autenticación multifactor basadas en SMS o códigos numéricos son vulnerables ante los flujos AiTM. Se debe priorizar el uso de llaves de seguridad físicas (FIDO2) o sistemas de verificación basados en el contexto que analicen la ubicación y la reputación del dispositivo de acceso.
• Fortalecimiento de la higiene del registro y políticas de ejecución: Limitar el uso de instaladores no aprobados por la organización mediante directivas de control de aplicaciones de Windows (como AppLocker o WDAC) para impedir que payloads sospechosos disfrazados de herramientas de IA se ejecuten en primer lugar.
• Monitoreo de conexiones y tokens activos: Los equipos de seguridad deben auditar de manera rigurosa la creación anormal de sesiones de inicio de sesión y configurar alertas ante el secuestro de tokens de acceso, acortando los tiempos de validez de las cookies de sesión activa.
• Control riguroso de DNS y filtrado web: Configurar firewalls y pasarelas de seguridad web (SWG) para bloquear de forma proactiva dominios de redireccionamiento recién creados o asociados a herramientas de seguimiento legítimas cuando su comportamiento sea anómalo en el tráfico corporativo.

El boom de la inteligencia artificial promete revolucionar la forma en que trabajamos, pero mientras la curiosidad corporativa continúe superando a la precaución, los ciberdelincuentes seguirán encontrando en las herramientas de IA el cebo más rentable del ecosistema digital actual.