SpamGPT: por 5.000 dólares ya se puede comprar un hacker personal impulsado por IA de nivel profesiona
Ahora el phishing se reduce a un solo clic.
Una nueva herramienta llamada SpamGPT apareció en foros clandestinos y rápidamente se convirtió en tema de debate en la comunidad de ciberseguridad. El conjunto combina las capacidades de la IA generativa con un sistema completo para envíos masivos y se presenta como una solución lista para llevar a cabo campañas de phishing. Sus desarrolladores llaman abiertamente al producto «spam-as-a-service», subrayando que reúne todas las funciones de una plataforma profesional de marketing, pero se utiliza para actividades ilícitas.
La interfaz de SpamGPT imita los servicios legales de email marketing: incluye módulos para gestionar campañas, configurar SMTP e IMAP, verificar la entrega y realizar análisis. Un panel de control oscuro viene acompañado de un asistente integrado, KaliGPT, que genera textos de correos, sugiere asuntos e incluso aconseja cómo aumentar la interacción de las víctimas. El control automatizado de la entrega se realiza mediante el monitoreo en tiempo real de buzones, lo que permite a los operadores ver de inmediato si el correo llegó a la bandeja de entrada o fue filtrado.
Los creadores afirman que la plataforma está optimizada para evadir los filtros de Gmail, Outlook, Yahoo y Microsoft 365, y que también utiliza servicios en la nube como AWS y SendGrid para enmascarar el tráfico malicioso como legítimo. La apuesta no es solo la escalabilidad, sino también la entrega garantizada: la herramienta no se limita a enviar correos, sino que busca que lleguen a las principales carpetas de los destinatarios.
El paquete incluye un «curso de formación sobre el arte de hackear SMTP», en el que se explican métodos para obtener y generar servidores de envío. A los usuarios se les muestra cómo tomar el control de nodos de correo poco protegidos o mal configurados, así como cómo crear un número ilimitado de cuentas SMTP. El panel de control admite la importación masiva de servidores, la comprobación de su operatividad y la distribución de la carga entre decenas de orígenes, lo que hace que los ataques sean resistentes y escalables.
Una parte importante del kit son las herramientas para falsificar remitentes y crear encabezados personalizados. Esto permite a los atacantes imitar dominios y marcas de confianza, eludiendo los mecanismos básicos de protección. En ausencia de políticas estrictas de DMARC, SPF o DKIM, la probabilidad de un engaño exitoso aumenta notablemente. Las campañas se crean mediante un sistema similar a un CRM: los atacantes pueden definir plantillas, programar envíos, cambiar servidores y seguir estadísticas detalladas de aperturas y clics.
En esencia, SpamGPT ha convertido un proceso complejo en un constructor accesible incluso para ciberdelincuentes poco experimentados. Todo lo que antes requería un equipo de programadores ahora se realiza desde una interfaz sencilla por un solo operador que pagó alrededor de $5000. Esto reduce drásticamente la barrera de entrada y hace que los ataques masivos de phishing sean aún más accesibles.
Los expertos advierten que, para contrarrestar soluciones de este tipo, las empresas deben reforzar la protección de los dominios de correo. Es obligatoria la configuración de DMARC, SPF y DKIM, así como la implantación de sistemas antiphishing modernos basados en aprendizaje automático, capaces de detectar señales de texto generado por IA y patrones atípicos de envío. Solo la combinación de tecnología, intercambio de información y monitoreo colectivo permitirá adelantarse a los atacantes que usan IA para automatizar ataques.
¿Estás cansado de que Internet sepa todo sobre ti?