En julio de 2024, el CEO de Ferrari preguntó qué de sus ejecutivos en WhatsApp para una operación de compra específica, una operación confidencial. Si el escenario parece dos gotas de agua a la de una estafa para el presidente y desafía a los líderes, es difícil para ellos no acceder a la solicitud. Especialmente desde que el líder, Benedetto Vigna, lanzó una conversación vocal con uno de sus interlocutores. La foto de perfil del CEO frente al logotipo de la marca, y especialmente su voz y su acento en el norte de Italia, dejan pocas dudas sobre su identidad.

Sin embargo, los sonidos metálicos y una intriga inusual de ritmo del habla uno de los ejecutivos en cuestión. Este último decide hacer una pregunta a la que solo el CEO puede responder. Le pidió que le recordara el título del libro que recientemente le recomendó. Resultado: sin respuesta e interrupción del intercambio. El pirata está expuesto. Ferrrari casi fue víctima de un sonido de un sonido, una versión dopada en la IA de fraude al presidente. Y fue el conocimiento del tema y la prudencia de uno de sus ejecutivos que probablemente lo salvaron de una estafa.

Unos meses antes, en febrero de 2024, un contador de la sucursal de Hong Kong de la Oficina de Diseño Industrial Arup hizo la prensa mundial después de pagar $ 25 millones a un hacker. Acababa de participar en una reunión de videoconferencia en la que todos los demás participantes se revelaron, después del hecho, para ser defensores que incorporan a varios ejecutivos de la compañía.

Casi una de cada dos organizaciones de Deepfake

En un estudio realizado en mayo de 2024 por la firma de investigación del Instituto de Investigación de Cap Gemini con 1000 organizaciones, el 45% de los encuestados admitió que habían sido víctimas de un ataque de defake en los dos años anteriores. Estas creaciones de la IA (Genai, aprendizaje automático, redes adversas generativas) de contenido que imitan casi perfectamente la realidad en un video, una imagen, un texto o una voz, se vuelven cada vez más creíbles y "simples" de hacer.

Como resultado, los avatares hiperrealistas pretenden ser líderes empresariales durante las reuniones de videoconferencia de los equipos de la compañía. Como Katarzyya Kapusta, Pilotadores de hackers amigables de Cortaix Lab del grupo Thalès, Lo explicó al CIO el año pasado, es una pregunta para los piratas informáticos preparar la intervención del doble digital del gerente a nivel técnico, pero también recuperando suficientes datos aguas arriba para ser creíbles durante la conversación en tiempo real.

Al igual que el fraude para el presidente telefónico convencional o el phishing, los defensores profundos obtienen su efectividad de la explotación de los sesgos cognitivos y de confianza que impiden el comportamiento lúcido e identifican un error, especialmente en situaciones de estrés o emergencia y cuando la autoridad jerárquica está involucrada. A esto se agregan sesgos de confirmación, un empleado no desconfía de una situación creíble, lo que espera, y el hecho de que el cerebro está "educado" para creer lo que ve y lo que escucha.

Instalar una cultura de escepticismo

En un artículo sobre el tema, el Sloane MIT Management Review Inspire el caso de Ferrari para enumerar las precauciones que se tomarán y agregan a los enfoques de ciberseguridad a los defensores. Comenzando con la conciencia y la aculturación de los equipos a estos temas. En el fabricante de automóviles, de hecho es la prudencia de un marco, que era rápidamente cauteloso y, por lo tanto, identificaba fallas en la voz de su CEO, y su conocimiento de este tipo de estafa resultó esencial para evitar la estafa.

Por lo tanto, en cuanto a otros tipos de ataques, aquellos basados ​​en AI - profundos en particular - y la manipulación psicológica que va para pares deben estar sujetas a programas de concientización específicos para aumentar el nivel de vigilancia de los empleados, tal como ya es el caso más del tiempo con phishing. La revista Sloane aconseja promover una cultura de escepticismo hacia las solicitudes inusuales, incluso si parecen creíbles. Queda por encontrar el nivel correcto de confianza. Sobre un tema ciertamente menos serio, el grupo Somfy CISO explicó recientemente durante el Cybershow París cómo algunos empleados se habían negado a abrir correos electrónicos de la gestión de la comunicación, ¡después de una campaña de concientización de phishing particularmente efectiva!

Verifique las identidades y prohíbe las aplicaciones de tercera parte

Sloane también menciona la instalación de protocolos rigurosos de "verificación de identidad en varias etapas para todas las comunicaciones de alto nivel o sensibles". Esto incluye la asignación de líneas de comunicación directa para decisiones importantes y la prohibición de aplicaciones de tercera parte no seguras, como WhatsApp en particular, para intercambios sensibles, que sin duda deberían tener que despertar sospechas en Ferrari, a favor de las soluciones cuantificadas de intercambios. Como muestran los dos ejemplos de estafas al fabricante de automóviles y Aruup, el conocimiento en los sesgos cognitivos parece tan importante como la cultura mínima de IA y Deepfakes.

Otro posible escudo protector contra los defensores profundos, el monitoreo permanente de actividades de alto riesgo por sistemas de detección de fraude, junto con protocolos de arresto rápido y notificación inmediata de actividades sospechosas. Por lo tanto, las empresas pueden agregar detección de defake a su política y sus sistemas de detección de fraude.

La protección contra ataques cada vez más sofisticados y cada vez más creíbles, por Deepfake, impone acciones en varios niveles: aculturación y conciencia, evolución de la gestión de riesgos y prevención de fraude, tecnologías de protección de las comunicaciones de las comunicaciones de la verificación sensible e de identidad de las comunicaciones, etc.