Deepfake: Engaño y 20 millones de euros perdidos

“Un empleado de una compañía financiera hongkonesa transfirió recientemente 23,7 millones de euros a lo que él creía que era la filial de su empresa en el Reino Unido.” De esta forma comienza el relato del diario El Confidencial. En un primer acercamiento a este párrafo podemos considerar que una falencia en los planes de concientización en seguridad han sido causa principal, nuevamente vemos la explotación de “El eslabón más débil”.

Continuando la lectura: “Los estafadores usaron la tecnología Deepfake para hacerse pasar por el director financiero y otros colegas en una videoconferencia, según ha informado la policía de Hong Kong.” “(En la) videoconferencia con múltiples personas, resulta que todos eran falsos”

En el análisis de lo sucedido se explica que un empleado recibió un mensaje por correo de parte del “director financiero” de la filial de Reino Unido, este mensaje solicitaba una transferencia monetaria “secreta”. El empleado entonces, bien entrenado en la posibilidad de estar en manos de un posible ciberdelincuente, sospechó de la operación solicitada y por supuesto, solicitó una llamada para la confirmación. Es ahí donde la persona vio y conversó con el “director general” y con otros empleados que también estaban en la videollamada, pudo reconocer el aspecto y tono de voz de sus colegas. Validada la operación entonces, más de 23 millones de euros fueron transferidos.

Imagen de una reunión de trabajo generada con un servicio gratuito utilizando un solo prompt y sin preparación

Deepfake

Deepfake es una técnica avanzada de inteligencia artificial que permite la creación o manipulación de contenido multimedia, como videos o audios, para hacer parecer que una persona dice o hace algo que nunca ocurrió en realidad. Utiliza generalmente recursos como redes neuronales y algoritmos de aprendizaje profundo, se entrenan modelos con grandes volúmenes de datos visuales y auditivos para imitar la apariencia, voz y gestos de individuos específicos con un alto grado de realismo.

Desafío para las organizaciones

Desde una perspectiva de ciberseguridad, los Deepfakes representan un desafío significativo debido a su potencial para propagar desinformación, comprometer la autenticidad de la información, y realizar actividades maliciosas, como actividades fraudulentas como la antes descrita, aunque también con alcance masivo para la manipulación de eventos políticos y sociales.

La detección efectiva de Deepfakes y la educación de los usuarios sobre su existencia y riesgos asociados son puntos importantes para mitigar su impacto negativo, aunque también debe considerarse controles compensatorios para simplemente reducir el riesgo asociado a esta tecnología.

Volcando los riesgos que surgen del mal uso de estas tecnologías podemos encontrar:

Suplantación de identidad: Imitar la voz o imagen de personas clave dentro de la organización, como ejecutivos o administradores de sistemas, para autorizar transacciones fraudulentas, divulgar información sensible o manipular a los empleados para que realicen acciones comprometedoras.

Desinformación y manipulación: La creación de contenido falso que parece auténtico puede dañar la reputación de la organización, manipular las percepciones del mercado, desestabilizar las acciones de la empresa o difundir falsedades sobre productos y servicios, afectando la confianza del cliente y las relaciones con los inversores.

Spear-phishing: Su uso en campañas de phishing representa un nivel de personalización y realismo que puede engañar incluso a usuarios técnicamente sofisticados, aumentando la efectividad de estos ataques para obtener credenciales de acceso, información financiera o datos confidenciales.

Riesgos legales y de cumplimiento: La circulación de Deepfakes que involucran a la organización o sus empleados puede llevar a implicaciones legales, incluyendo litigios por difamación, violaciones de derechos de autor o incumplimiento de regulaciones sobre la privacidad y protección de datos.

Espionaje corporativo: En sectores críticos u organizaciones que trabajan en áreas de interés nacional, los Deepfakes pueden ser utilizados por actores estatales o competidores para el espionaje corporativo o incluso para la desestabilización o influencia en procesos democráticos y decisiones políticas.

Manipulación de pruebas y registros: Los Deepfakes pueden ser empleados para alterar evidencia visual o auditiva en investigaciones legales o internas, haciendo compleja la atribución de responsabilidades y la aplicación de la justicia.

Impacto en la autenticación biométrica: A medida que las técnicas de Deepfake se vuelven más sofisticadas, existe el riesgo de que puedan ser utilizadas para burlar sistemas de seguridad basados en reconocimiento facial o de voz, comprometiendo el control de acceso a infraestructuras críticas de la información.

Algunas conclusiones

Los planes de concientización deben incluir un enfoque acerca del mal uso de la tecnología de Deepfake, el caso mencionado ya no es una novedad, solo es uno más que se suma a otros similares en el entorno, podemos saber que su uso es cada vez más probable debido a gran cantidad de recursos tecnológicos que están al alcance de la mano, no es necesario analizar grandes estadísticas para notar esto cuando tenemos este tipo de tecnología al alcance de la mano para enviar un saludo a nuestros amigos de parte de Messi

Generador online de mensajes personalizados de parte Leonel Messi (Disponible Febrero 2024)

Recientemente, OpenIA ha compartido avances sobre un nuevo desarrollo que permite la generación de contenido multimedia a partir de instrucciones de texto. Más allá de su increíble avance, podemos notar en contexto de esta publicación los riesgos asociados.

Escena de un hombre leyendo un libro sentado en una nube generada con SORA (OpenAI)

Con todo esto, podemos decir que para realmente mitigar los riesgos asociados con la tecnología de Deepfake, como para la mayoría de los riesgos, resulta de valor adoptar un enfoque múltiple que incluya también otros elementos, desde actualizar las políticas de seguridad hasta la inversión en soluciones de inteligencia artificial que puedan identificar anomalías y firmas específicas de los Deepfakes, esto último no siempre está al alcance de la mano, pero sí pueden considerarse elementos simples como la revisión de procesos para incluir algún tipo de validación adicional o la verificación y autenticación de fuentes de información.

También, es importante mencionar una cultura de seguridad dentro de la organización que promueva la vigilancia y el escepticismo saludable frente a contenidos sospechosos.

La colaboración con otras empresas y organismos reguladores para compartir conocimientos y mejores prácticas también puede ayudar a crear un entorno más seguro contra las amenazas que los Deepfakes representan.