Deepfakes y ciberseguridad empresarial: así intentan estafar con el “nuevo ramsonware” y cómo se puede detectar el engaño a tiempo

Deepfakes y ciberseguridad empresarial: así intentan estafar con el “nuevo ramsonware” y cómo se puede detectar el engaño a tiempo
Sin comentarios

La tecnología de los deepfakes está evolucionando a gran velocidad, y eso entraña grandes peligros para la ciberseguridad. Conforme se desarrolla, las falsificaciones de vídeo y de audio parecen más reales y, por lo tanto, más creíbles. Además, su uso se abarata y se simplifica, por lo que es más asequible para los ciberdelincuentes. Diferentes fuentes consultadas por Xataka aseguran que, por el momento, han sido pocos los ataques e intentos de fraude haciendo uso de esta herramienta, pero, al mismo tiempo, subrayan que a medio y largo plazo su potencial es tal que se puede convertir en una amenaza similar al ransomware.

Hasta ahora, las deepfakes se han usado malintencionadamente, sobre todo, para desinformar, crear noticias falsas, atacar a la reputación de personajes públicos y con fines pornográficos. Es decir, se han dirigido a particulares. Sin embargo, su creciente capacidad para suplantar a personas con éxito, tanto en audio como en vídeo, está haciendo que los ciberdelincuentes estén cada vez más interesados en ellas para atacar y estafar a empresas e instituciones públicas. De hecho, el FBI publicó el pasado mes de marzo un informe en el que identificaba a esta tecnología como una importante amenaza para la ciberseguridad empresarial a nivel mundial “que tendrá impactos financieros y de reputación muy significativos” a corto plazo.

Y la empresa de ciberseguridad estadounidense Recorded Future publicó un informe en abril en el que advertía de que los ciberdelincuentes estaban acudiendo cada vez más a la Dark Web para conseguir tutoriales sobre deepfakes o, directamente, contratar servicios personalizados de esta tecnología con fines maliciosos. Asimismo, este estudio señalaba que, además de para estafas y ataques a la reputación, esta herramienta se está empezando a usar para tratar de evadir controles de seguridad.

Angela

Este tipo de ataques están todavía en una etapa inicial, pero sí que son un peligro creciente, y puede ser que en unos meses o años se produzcan agresiones importantes. Nosotros, por el momento, no hemos tenido consultas de ciberseguridad relacionadas con las deepfakes a través de nuestra línea de ayuda al ciudadano”, explica Ángela G. Valdés, técnico de Ciberseguridad para Ciudadanos del Instituto Nacional de Ciberseguridad de España (Incibe).

Pero ataques sí se han producido. En septiembre de 2019 la revista Forbes ya informó de que un directivo de Reino Unido había sido engañado mediante un deepfake de voz para sustraerle a su empresa unos 240.000 dólares. E intentos similares se han llevado a cabo durante los dos últimos años en diferentes partes del mundo, también en España.

“Nosotros ya hemos tratado casos de este tipo, del conocido como fraude del CEO, mediante deepfakes de audios. El consejero delegado de una empresa nos llamó preocupado porque le habían tenido al teléfono durante un minuto y medio mediante ingeniería social sin decirle concretamente para qué, y temía que fuese para conseguir su voz y, mediante concatenaciones, poder reproducirla y usarla para tratar de cometer un fraude contra la compañía”, explica Selva Orejón, experta en ciberseguridad e identidad digital de onBranding.

La voz, principal amenaza a corto plazo

Los diferentes expertos consultados por Xataka coinciden en que, en estos momentos y en los próximos años, el principal peligro de los deepfakes para empresas e instituciones será el audio, por dos razones muy simples: es mucho más sencillo de crear y, al tener menos elementos para poder detectar el engaño, es más creíble que el vídeo.

Sergio

Un deepfake de audio se puede hacer con unas pocas muestras de voz de la persona a la que se quiere suplantar. Este método y el phishing por email van a seguir siendo los intentos de estafa más habituales, porque son más sencillos de crear y usar que un deepfake de vídeo. Pero también es verdad que la extensión de las videollamadas como consecuencia de la pandemia, el perfeccionamiento y abaratamiento de la tecnología y la posible prevención que el usuario adquiera contra las estafas de voz y correo pueden hacer que los delincuentes se vean obligados a elevar el listón y les merezca la pena usar las deepfakes de video”, advierte Sergio de los Santos, director de Laboratorio e Innovación de Telefónica Tech.

Y esos fraudes mediante voces suplantadas van a tener como principal objetivo, señalan los expertos, a directivos e importantes cargos de empresas, como en el caso que expone Orejón, para convencerlos de realizar operaciones económicas por las que los delincuentes se puedan embolsar importantes sumas de dinero.

La sextorsión, otra amenaza para las empresas

Además del fraude del CEO, una amenaza creciente de las deepfakes para las empresas son los vídeos sexuales en los que se usa esta tecnología para introducir a alguno de sus directivos más reconocibles y, de esta manera, generar un impacto negativo en la reputación tanto de la persona como de la compañía, o para extorsionar a ambos para conseguir dinero.

“También tuvimos un cliente que era un directivo de una importante empresa, con una gran carrera en el mundo de los negocios y mucha repercusión en el círculo empresarial, que había sido víctima de sextorsión a través de un deepfake de vídeo”, explica Orejón.

Los expertos coinciden en que, en estos casos, si el deepfake se usa para introducir artificialmente a una persona en un vídeo sexual, el impacto reputacional puede ser importante y la posibilidad de extorsión, seria, pero en la mayoría de ellos se podrá demostrar, mediante distintos softwares y análisis forenses, que el vídeo es falso. Sin embargo, existe una vertiente aún más perversa en el uso de deepfakes para sextorsión: que se haga creer a la persona que su interlocutor en una videollamada está llevando a cabo acciones sexuales y, al pensarse en igualdad de condiciones, acceda a hacerlas él mismo también. En este caso, que ya se ha dado, los delincuentes obtienen un vídeo sexual real del directivo mediante engaño del que difícilmente se podrá defender.

Cómo detectar el engaño en directo

En la actualidad existen muchos softwares que ayudan a detectar los deepfakes, tanto de audio como de vídeo, cuando se trata de un contenido grabado. Sin embargo, muchas de las amenazas para la ciberseguridad reseñadas en este artículo se producen en tiempo real, por lo que el uso de la tecnología para detectar el engaño es más complicado. Por eso, los expertos recomiendan seguir una serie de buenas prácticas que ayuden a destapar la farsa en el mismo momento en el que se está produciendo.

El principal consejo, tanto para audio como para vídeo, es tener siempre un espíritu crítico y contrastar la información con la fuente autorizada si hay algo que no cuadra, como con las fake news.

La mejor práctica para defenderse de estos intentos de engaño es llamar de vuelta. Si intentan retenerte, o te meten prisa para que decidas ya, y no te cuadra lo que te están diciendo, es evidente que algo pasa, así que lo recomendable es llamar a esa misma persona que se está comunicando para cerciorarte de que es verdad”, aconseja de los Santos.

Orejón, por su parte, recomienda interpelar al interlocutor con información comprometida que sólo esa persona pueda conocer, para ponerlo en una encrucijada. Asimismo, explica que grabar todas las conversaciones en el ámbito empresarial puede ser una buena idea, ya que en el caso de caer en una estafa, esos audios se pueden usar como prueba de que la persona ha sido engañada.

En cuanto a los vídeos, por el momento es algo más sencillo detectar el engaño. Por ejemplo, es muy habitual que los deepfakes parpadeen muy poco, cuando una persona suele parpadear de forma natural a intervalos de dos a ocho segundos, por lo que si el interlocutor de una videollamada apenas realiza este gesto inconsciente, hay que sospechar.

Otro fallo común de los deepfakes de vídeo es que la imagen no esté sincronizada con el audio, que la imagen esté un poco distorsionada, que haya sombras extrañas y antinaturales o cortes de sonidos incoherentes. En estos casos, los ciberdelincuentes suelen tratar de justificarse aludiendo a una mala calidad de la conexión, pero si esto sucede es recomendable tratar de confirmar que, efectivamente, la persona que está al otro lado es quien dice ser.

Temas
Inicio