TECNONEWS / AMIC – 19/10/2025
La IA generativa ha suposat una revolució social en tots els aspectes de la vida, també -i desgraciadament- en el camp de la delinqüència i, més concretament, en el de la ciberdelinqüència, amb paranys que ens arriben via missatges de correu electrònic molt més elaborats i, per tant, versemblants que en el passat, quan en molts casos rebíem bastes imitacions de missatges corporatius o de bancs, amb grans errors lingüístics que delataven el seu origen fraudulent.
La IA permet la composició correcta de textos en qualsevol llengua, amb el que facilita l’engany, però també pot anar més enllà. La pròxima tendència pot ser el neurophishing, que Er. Kritika (una investigadora independent índia en el terreny de la ciberseguretat) descriu en el blog de ciberseguretat de ISACA.
Igual que el neuromarketing es basa en estudis amb indicadors biomètrics per a ajustar les campanyes de màrqueting de manera que aquestes apel·lin a les emocions i aconsegueixin el major i millor resultat possibles, el neurophishing també es basa en indicadors biomètrics a temps real per a aconseguir el màxim efecte sobre les víctimes.
El phishing es basa, cada vegada més, en la pressió emocional; rebem un missatge de correu indicant que hem de fer una transferència urgent i, seguidament, podem rebre un SMS, o una petició de videoconferència, tot això preparat amb IA i deepfakes, procedents suposadament d’un superior en l’escalafó de l’empresa, que ens captura a actuar.
Portats pel temor a les conseqüències de no fer el que se’ns demana, ràpidament allunyem qualsevol dubte del nostre cervell, caient en el parany i realitzant l’operació que ens sol·liciten, per a descobrir l’endemà, al cap d’unes hores, o uns dies, que hem estat víctimes d’una estafa.
El que fa el neurophishing és afegir a la panòplia ja existent d’ajudes de la IA a la comissió del delicte, les lectures de paràmetres biomètrics en temps real, la qual cosa permet variar la tàctica de l’engany sobre la marxa per a exercir major pressió psicològica sobre la víctima.
Un exemple d’ús serien les polseres d’activitat que mesuren el ritme cardíac, i que molts de nosaltres portem posades diàriament. Hackejar el programari per a poder rebre les lectures permet conèixer si el destinatari del phishing està tranquil o, al contrari, estressat i, per tant, modular la pressió que s’exerceix sobre ell concorde a aquestes dades.
Un altre exemple d’ús seria la lectura dels petits gestos facials que denoten ansietat o preocupació, durant una videoconferència o mitjançant el hackeig del sistema operatiu per a activar i controlar remotament la webcam de l’equip.
De moment, i almenys fins on jo sé, el text de Kritika és merament teòric, és a dir, una aproximació al que podríem viure més endavant, però que no evidencia res que s’hagi trobat “in the wild” per separat (per exemple, el hackeig d’apps de salut), però per al que hauríem de començar a preparar-nos per si de cas ens arriba en conjunt.
I aquesta preparació implica denegar tota la informació biomètrica que puguem als ciberdelinqüents: quan ens arribi una petició per a realitzar una acció compromesa en la nostra empresa que no puguem comprovar fefaentment (per exemple, mitjançant una trucada telefònica al nostre cap directe), llevar-nos la polsera d’activitat/smartwatch, i assegurar-nos que la webcam està tapada i els micros del sistema silenciats.
Una altra acció que podem dur a terme és la de sortir de l’habitació on tenim l’ordinador, sense portar cap dispositiu electrònic amb nosaltres, i sospesar els següents passos en una habitació en la qual no puguin espiar-nos remotament mitjançant mesures electròniques.
Foto: BANCHA SINCHAL. ISTOCK / GETTYIMAGES PLUS
