Los CIO, CISO y otros líderes empresariales deben prepararse para ataques impulsados por IA que utilizan llamadas de voz, video y videollamadas realistas pero falsas, dice Michael Hasse, consultor de TI y ciberseguridad desde hace mucho tiempo. Sin duda, las falsificaciones profundas que involucran llamadas de voz no son nada nuevo. Hasse recuerda haber dado una presentación sobre el tema a empresas de gestión de activos en 2015, después de que algunas empresas del sector fueran víctimas de estafas basadas en ese enfoque.
Sin embargo, desde 2015, las tecnologías de inteligencia artificial que se utilizan para crear deepfakes no solo han mejorado significativamente, sino que también se han vuelto ampliamente accesibles, señala el consultor. Según él, el principal obstáculo para el uso generalizado de deepfakes por parte de los ciberdelincuentes sigue siendo la falta de una herramienta completa y fácil de usar para crear audio y video falsificados.
Deepfakes, un riesgo para el crédito
Pero predice que es probable que pronto surja una fábrica de deepfakes de este tipo. Y es probable que empiece a circular en el submundo criminal antes de las elecciones estadounidenses de noviembre, siendo las campañas políticas los primeros objetivos de este tipo de ataques. “Todas las piezas del rompecabezas ya están ahí”, dice Hasse. “Lo único que nos ha impedido ver este fenómeno inundar a todo el mundo es que a los malos les lleva tiempo integrar todos estos componentes”.
Los expertos en ciberseguridad no son los únicos que advierten sobre el riesgo que suponen las deepfakes para las empresas. En mayo, la agencia de calificación crediticia Moody's emitió una advertencia sobre el tema, diciendo que las deepfakes crean nuevos riesgos crediticios. Informe de Moody's detalla un puñado de intentos de estafa que explotan la técnica, incluidas videollamadas falsas dirigidas al sector financiero durante los últimos dos años.
“Las pérdidas financieras atribuidas al fraude con deepfakes se están convirtiendo en una amenaza importante”, afirma el informe. “Los deepfakes pueden utilizarse para crear vídeos fraudulentos de funcionarios bancarios, ejecutivos de empresas o funcionarios gubernamentales con el fin de inducir transacciones financieras o pagos fraudulentos”.
"No tenemos herramientas de detección efectivas y no las tendremos"
Las estafas deepfake ya existen, pero la escala del problema es difícil de medir, dice Jake Williams, miembro de IANS Research, una firma de investigación y asesoría en ciberseguridad. En algunos casos, las estafas no se denuncian para preservar la reputación de la víctima, y en otros casos, las víctimas de otros tipos de estafas pueden culpar a las deepfakes como una forma conveniente de encubrir sus errores, dice. Al mismo tiempo, cualquier defensa contra las deepfakes a través de la tecnología está destinada a ser engorrosa (imaginemos una herramienta de detección que escuche las llamadas telefónicas de todos los empleados) y puede tener una vida útil limitada a medida que las tecnologías de inteligencia artificial avanzan rápidamente. "Es difícil de medir porque no tenemos herramientas de detección efectivas y no las tendremos", dice Jake Williams, un ex pirata informático de la NSA. "Por lo tanto, será difícil monitorear el desarrollo de la situación", predice.
Si bien algunos piratas informáticos aún no tienen acceso a tecnología deepfake de alta calidad, falsificar voces e imágenes en videollamadas con poco ancho de banda se ha vuelto trivial, observa Williams. A menos que su reunión de Zoom sea en HD o mejor, un cambio de rostro puede ser suficiente para engañar a la mayoría de las personas.
Campaña de phishing falsa y deepfake real
Kevin Surace, presidente de la empresa de autenticación multifactor Token, puede brindar testimonio de primera mano sobre el potencial de la suplantación de voz. Recientemente recibió un correo electrónico de la asistente de uno de los inversores de Token, pero inmediatamente identificó el correo electrónico como una estafa de phishing. Surace luego llamó a la asistente para advertirle que se estaban enviando correos electrónicos de phishing desde su cuenta, y la voz del otro lado sonaba exactamente como la de la empleada, dice. Cuando la voz del otro lado comenzó a responder de manera extraña durante la conversación, le pidió que le contara sobre sus compañeros de trabajo, y la voz no reconoció sus nombres.
Resultó que el número de teléfono que aparecía en el correo electrónico de phishing tenía un dígito diferente al número real del asistente. El número de teléfono falso dejó de funcionar unas horas después de que el ejecutivo de Token detectara el problema.
Los delincuentes que quieren simular una voz ahora solo necesitan unos segundos de grabación, y la tecnología para crear simulaciones de video en vivo realistas es cada vez mejor, dice Kevin Surace, conocido como el padre del asistente virtual por su trabajo en Pórtico en General Magic En los años 90, la gente decía: "Esto no puede estar pasando", dijo. "Pero le pasó a unas pocas personas, y si le pasó a tres, pronto serán 300, luego 3.000, y así sucesivamente".
Ampliación del dominio de lo falso
Hasta ahora, los deepfakes dirigidos al mundo corporativo se han centrado en engañar a los delincuentes para que transfieran dinero. Pero Surace cree que también se pueden utilizar para chantajear o manipular las acciones. Si el monto del chantaje es lo suficientemente bajo, los directores ejecutivos u otras personas objetivo pueden decidir pagar en lugar de tratar de explicar que la persona que aparece en el video comprometedor no es realmente ellos.
Al igual que Michael Hasse, Kevin Surace predice que pronto se producirá una ola de deepfakes y que ya se están produciendo muchas más estafas como la que sufrió él. “La gente no quiere hablar con nadie sobre lo que está pasando”, afirma. “Pagan 10.000 dólares y lo dejan pasar, pensando: ‘Esto es lo último de lo que quiero hablar con la prensa’”.
Explotación de información de redes sociales
El uso generalizado de deepfakes puede estar cerca, pero aún existen algunos obstáculos. La falta de software fácil de usar para crearlos, claro está. Pero también, la potencia informática que algunos cibercriminales no poseen. Además, las estafas deepfake tienden a operar como ataques dirigidos, como el phishing de ballenas (una técnica de phishing dirigida a los tomadores de decisiones o que se basa en su peso en la organización), y lleva tiempo rastrear a la(s) presa(s).
Sin embargo, las víctimas potenciales ayudan a los cibercriminales proporcionándoles una gran cantidad de información en las redes sociales. “Los delincuentes aún no tienen un método altamente optimizado para recopilar datos de las víctimas y generar noticias falsas de forma suficientemente automatizada, pero eso llegará pronto”, afirma Hasse.
Regreso a las viejas técnicas
Es probable que cada vez haya más estafas deepfake en el mundo corporativo, por lo que la pregunta es cómo lidiar con esta creciente amenaza. Y, como la tecnología para generar estas ilusiones mejora constantemente, no hay una respuesta obvia a esta pregunta.
Hasse afirma que la concienciación y la formación de los empleados serán importantes. Los empleados y los directivos deben ser conscientes de las posibles estafas y, cuando alguien de la empresa les pide que hagan algo sospechoso, aunque sea a través de una videollamada, deben apresurarse a verificar la solicitud directamente con ellos. Hacer otra llamada telefónica o verificar la solicitud en persona es una forma tradicional de autenticación multifactorial, pero funciona, afirma el consultor.
Cuando la industria de gestión de activos comenzó a sufrir estafas de voz hace casi una década, los asesores adoptaron un enfoque más profundo para conocer a sus clientes. Las conversaciones con los clientes comenzaban con preguntas sobre su familia, pasatiempos y otra información personal que ayudaba a verificar su identidad.
Líderes, mientan en las redes sociales
Otra defensa para los líderes empresariales y otros empleados que desempeñan funciones sensibles es mentir intencionalmente en las redes sociales para frustrar los ataques. “Creo que en algún momento, ciertas funciones dentro de la empresa lo requerirán”, dice Hasse. Afirma que las empresas de cierto tamaño deben aceptar el hecho de que las cuentas de redes sociales de quienes desempeñan funciones sensibles sean monitoreadas. Los CIO, CISO y otros líderes empresariales deben ser conscientes de la amenaza y saber que podrían ser el objetivo, dice Surace.
Su empresa vende un dispositivo portátil de autenticación multifactor basado en huellas dactilares y cree que los productos MFA de próxima generación pueden ayudar a defenderse de las estafas basadas en deepfake. “La próxima generación de MFA debe poder verificar identidades de forma rápida y segura, por ejemplo, cada vez que los empleados inician sesión en una reunión de Zoom”, añade.
Jake Williams, de IANS, no está seguro de que las nuevas tecnologías o la capacitación de los empleados sean soluciones efectivas. Algunas personas se resistirán a usar un nuevo dispositivo de autenticación y la capacitación en ciberseguridad existe desde hace mucho tiempo, con un éxito limitado, señala. En cambio, las empresas deben implementar procesos, como usar una aplicación segura cuando los empleados transfieren grandes cantidades de dinero. Usar un correo electrónico o una llamada de voz para solicitar una transferencia de dinero grande no es seguro, pero algunas organizaciones aún lo hacen, dice Williams.
Durante siglos, las personas han utilizado voces e imágenes para autenticarse mutuamente, pero esos días ya pasaron. “La realidad es que utilizar la voz o la imagen de una persona para autenticarla siempre ha sido inadecuado desde una perspectiva de seguridad”, dijo el ex pirata informático de la NSA. “La tecnología está alcanzando nuestros procesos ineficientes y estándares deficientes”.
Otras noticias que te pueden interesar