Suplantan a Marco Rubio con IA para robar información, y no ha sido el único

El imitador ocupó un software de inteligencia artificial con los que hizo mensajes de voz y textos que imitaban la forma de hablar y escritura del Marco Rubio, además de crear una cuenta en la aplicación de mensajería cifrada Signal, bajo el nombre de usuario "Marco.Rubio@state.gov" para contactar con diplomáticos y políticos extranjeros y nacionales.

El nombre del usuario no corresponde a su dirección de correo electrónico real.

Los mensajes fueron enviados a mediados de junio al menos a tres ministros de Exteriores, un gobernador estadounidense y un congresista a través de Signal, de acuerdo con un cable fechado el 3 de julio.

"Es probable que el actor intentara manipular a las personas objetivo usando mensajes de texto y de voz generados por IA con el objetivo de obtener acceso a información o cuentas", dice el cable, y además de especificar que hubo dos mensajes de voz a dos funcionarios.

El contenido ni los actores contactados han sido divulgados, y las autoridades estadounidenses desconocen quién está detrás de la serie de intentos de suplantación de identidad, informó The Washington Post, quien informó del caso.

"El Departamento de Estado es consciente de este incidente y actualmente está investigando el asunto", dijo un alto funcionario, que habló bajo condición de anonimato.

El cable del Departamento de Estado fue enviado a todas las oficinas diplomáticas y consulares y sugiere que el personal advierta a los socios externos sobre cuentas falsas y suplantaciones.

"No existe una amenaza cibernética directa para el Departamento derivada de esta campaña, pero la información compartida con terceros podría quedar expuesta si se compromete a personas concretas".

El cable ni los funcionarios señalan a un presunto autor, aunque hicieron referencia a un segundo intento en abril, atribuido a un hacker relacionado con Rusia, quien llevó una campaña de "phishing" dirigida a grupos de reflexión, activistas y disidentes de Europa del Este y antiguos funcionarios del Departamento de Estado.

Marco Rubio no fue el único con intento de suplantación de identidad con IA

El secretario de Estado no ha sido el único funcionario de alto perfil afectado por este delito.

La policía federal (FBI) ha advertido que desde abril "actores maliciosos" se han hecho pasar por altos funcionarios estadounidenses.

"Los actores maliciosos han enviado mensajes de texto y de voz generados por IA, técnicas conocidas como smishing y vishing, respectivamente, que afirman provenir de un alto funcionario estadounidense en un esfuerzo por establecer contacto antes de obtener acceso a cuentas personales", advirtió el FBI en mayo de este año.

Ese mes, una persona se infiltró en el teléfono de la jefa de personal de la Casa Blanca, Susie Wiles, y comenzó a realizar llamadas a senadores, gobernadores y ejecutivos de empresas haciéndose pasar por ella, según el Wall Street Journal.

Ese hecho desencadenó una investigación de la Casa Blanca y el FBI, aunque el presidente Donald Trump le restó importancia a la amenaza.

No se necesita de una IA sofisticada para engañar a funcionarios

De acuerdo con Hany Farid, profesor de la Universidad de California en Berkeley, especializado en análisis forense digital, declaró a The Washington Post que no se requieren de actores sofisticados para tener éxito en sus operaciones, ya que puede suelen funcionar por el descuido de los funcionarios.

"Esta es precisamente la razón por la que no se debe utilizar Signal ni otros canales inseguros para asuntos gubernamentales oficiales", afirmó.

¿Cómo funcionan los fraudes con IA?

De acuerdo con Kaspersky, empresa líder de ciberseguridad,

El smishing, vishing y el phishing son tres modalidades diferentes de fraude electrónico, y que afectan a gran parte de la población. Kaspersky, empresa líder global de ciberseguridad, las define de la manera siguiente:

Phishing: Se trata de suplantación de identidad, en el cual comúnmente las personas reciben un correo electrónico con un link que les dirige a una página fraudulenta, con aspecto parecido al de una institución, con la intención de acceder a información personal.

En el sitio, se solicitan las credenciales de acceso, como el usuario y contraseña de bancos.

Smishing: Es un ataque tipo phishing, pero mediante mensajes de texto o SMS. En estos casos, los atacantes pueden tener un malware en la URL o sitios fraudulentos que vinculan a los mensajes.

Vishing: Son fraudes a través de llamadas telefónicas, en el cual las personas se hacen pasar por otras identidades, y dan indicaciones a la víctima.

Estos fraudes cibernéticos son una amenaza para miles de personas, ya que se aprovechan del desconocimiento o poco cuidado de la información. En México, tuvieron un aumento de 40% en 2024 respecto a 2018, y la técnica de phishing fue de las más comunes.