En enero de 2024, un empleado financiero de una multinacional con sede en Hong Kong recibió un correo electrónico del director financiero (CFO) de la empresa en el Reino Unido. El mensaje mencionaba la realización de transacciones confidenciales, algo inusual, pero una videollamada aclararía la situación.
La llamada incluía a varios altos cargos de la organización, por lo que el trabajador de Hong Kong procedió a realizar 15 pagos, totalizando 200 millones de dólares de Hong Kong (aproximadamente 25,6 millones de dólares estadounidenses), a cinco cuentas bancarias locales. Fue solo al mencionar las transacciones a la oficina central cuando se descubrió el engaño.
El CFO nunca había solicitado las transferencias. Las personas en la llamada ni siquiera eran reales. Todo había sido orquestado por un ciberdelincuente.
El superintendente de la policía de Hong Kong, Baron Chan Shun-ching, explicó a Radio Televisión Hong Kong que el estafador probablemente descargó los videos con antelación y utilizó inteligencia artificial para agregar voces falsas a la videoconferencia.
Este no es un caso aislado. La policía de Hong Kong ha encontrado al menos 20 casos donde se ha usado aprendizaje automático para crear deepfakes y obtener dinero mediante engaños, informó CNN. Los expertos advierten que esta tendencia apenas comienza.
“Está escalando”, señala Todd Wade, experto en seguridad de la información. “Las bandas criminales están estableciendo centros de llamadas en todo el mundo y los están manejando como negocios. Y están creciendo”.
El avance tecnológico y el uso de la inteligencia artificial (IA) han permitido desarrollar estafas que eluden las defensas tradicionales y atacan el eslabón más débil de cualquier estrategia de ciberseguridadLas soluciones de ciberseguridad son esenciales en la era di...: los humanos.
Nick Biasini, jefe de divulgación en Cisco Talos, afirma que “la ingeniería social está ocupando una parte cada vez mayor de este panorama. Se está viendo a más y más actores de amenazas que no son necesariamente técnicamente sofisticados, pero son buenos manipulando a las personas”.
Este aumento en la sofisticación de las amenazas basadas en IA es otro factor impulsor. En el último año, los avances tecnológicos han llegado a un punto en el que es cada vez más difícil distinguir un deepfake de la realidad.
Mientras que antes era fácil detectar un deepfake por patrones de habla extraños o manos mal dibujadas, estos problemas se están superando rápidamente. Aún más preocupante, la IA ahora puede crear deepfakes realistas con conjuntos de entrenamiento diminutos.
“Hay muchos centros de llamadas que te llaman solo para grabar tu voz”, dice Luke Secrist, CEO de la firma de hacking ético BuddoBot. “Las llamadas telefónicas que recibes sin respuesta están tratando de grabarte diciendo ‘Hola, ¿quién es?’ Solo necesitan un fragmento”.
Según el experto en ciberseguridad Mark T. Hofmann, “treinta segundos de material en bruto, ya sea voz o video, son suficientes para crear clones deepfake en una calidad que ni tu esposa, esposo o hijos podrían distinguir de ti. Nadie está a salvo”.
En muchos casos, un ciberdelincuente ni siquiera necesita llamarte. Las redes sociales están llenas de material de audio y video. Además, “también hay una gran cantidad de violaciones de datos que incluyen información personal como tu dirección, número de teléfono, correo electrónico, número de seguro social… Para los ataques de ingeniería social, pueden usar esta información para hacerse pasar por alguien con autoridad”, dice Wade.
Una vez iniciada un ataque de ingeniería social, los ciberdelincuentes juegan con las debilidades mentales para obtener lo que desean. Pueden hacerte creer que tu hijo ha sido secuestrado o que tu trabajo está en peligro si no haces un favor a tu jefe.
Las defensas cibernéticas estándar tienen poco que hacer para prevenir esto. Por lo tanto, “cuando hablamos de ingeniería social y deepfakes, el firewall humano es más importante que nunca”, dice Hofmann. “Necesitamos informar a las personas sobre los nuevos riesgos, sin asustarlas”.
Una buena regla general en el mundo de los deepfakes es desconfiar de cualquier solicitud fuera de lo común, sin importar de quién parezca provenir. Hofmann sugiere que las familias acuerden una palabra clave para usar en caso de duda.
En los entornos corporativos, “hacer preguntas de seguridad o devolver la llamada al número real es un buen consejo”, añade. “Pueden robar tu voz, pero no tu conocimiento”.
Biasini coincide en que la mejor forma de derrotar la amenaza de los deepfakes es la educación, al menos hasta que la tecnología de autenticación encuentre una manera de distinguir identidades reales de las falsas. “Cuando encontramos este tipo de actividades, nos aseguramos de que se expongan”, dice.
“Una de las cosas más importantes que se puede hacer es llevar este conocimiento a las masas, porque no todos son conscientes de estos tipos de amenazas”.
Fuente: Cisco