Para, la inteligencia artificial podría duplicar el crecimiento económico en Canadá y las tasas de crecimiento económico a nivel mundial. Sin embargo, no son sólo las empresas legítimas las que aprovecharán las herramientas basadas en IA. Los ciberdelincuentes también aprovecharán la tecnología para mejorar sus ingresos.
Si bien hay varias formas de hacerlo, los deepfakes pueden representar una de las mayores amenazas. Este artículo examinará qué son los deepfakes, la amenaza que representan y cómo defenderse de estos ataques.
¿Cómo funcionan los deepfakes?
Ya has visto lo que Photoshop puede hacer. Puedes eliminar o agregar elementos de las fotos, cambiando completamente la escena. El aprendizaje profundo permite que la IA vaya un paso más allá. El software rastrea diferentes aspectos del rostro y la voz de alguien y crea un facsímil razonable.
Este vídeo de la BBC es un excelente ejemplo de cómo funciona esta tecnología.
¿Por qué son peligrosos los deepfakes?
El clip de la BBC muestra que puedes hacer que cualquiera haga casi cualquier cosa con el software correcto. Sin embargo, el presentador señala que los ejemplos dados son falsificaciones y son relativamente fáciles de detectar. Sin embargo, esto no se debe a que carezcan de realismo, sino a que las acciones de la persona que aparecen en ellos son inverosímiles.
Si los vídeos fueran más razonables, sería fácil creer que son reales. Además, durante las últimas dos décadas, hemos aprendido que no siempre podemos confiar en el texto o las imágenes. Cuando alguien graba un vídeo, debe ser real, ¿no?
Ya no, gracias a los deepfakes.
¿Cómo pueden afectar los Deefakes a su negocio?
Hasta la fecha, la mayoría de los vídeos utilizados por los ciberdelincuentes se centran en chantajear a la víctima. Los malos actores podrían, por ejemplo, crear una fotografía o imagen pornográfica falsa. Luego amenazan con compartirlo en las redes sociales si la persona no hace lo que exigen.
En un entorno corporativo, la idea de que este tipo de imagen salga a la luz es vergonzosa. Sin embargo, existe un riesgo más insidioso cuando los delincuentes atacan el saldo bancario de la empresa.
Chantaje criminal que afecta la reputación de su empresa
Los delincuentes pueden, por ejemplo, crear un vídeo falso de un empleado clave diciendo o haciendo algo que sus clientes considerarán incorrecto. Con la cultura de cancelación actual, muy pocas personas examinan la validez de las afirmaciones. Estos vídeos, incluso si finalmente se demuestra que son falsos, pueden dañar la reputación de su empresa.
Ataques que hacen que los phishers convencionales parezcan aficionados
Los deepfakes a menudo funcionan porque creemos en lo que vemos y oímos. Lamentablemente, en vimos en Europa un ejemplo de los peligros de esta creencia.
El director general de Euler Hermes Group SA en Europa recibió una llamada del director general de la empresa, Rüdiger Kirsch. El director ejecutivo pidió al director general que transfiriera una suma equivalente a 243.000 dólares a un proveedor en Hungría. Fue una estafa muy inteligente que utilizó tecnología basada en inteligencia artificial para falsificar la voz del jefe.
El director general nunca tuvo dudas de que estaba hablando con su jefe. El software basado en inteligencia artificial utilizado por los delincuentes obtuvo todos los detalles correctos, incluido el tono y las inflexiones que utilizó el director ejecutivo.
Sólo cuando los estafadores intentaron obtener un segundo y tercer pago, el director ejecutivo se dio cuenta de que algo andaba mal. Esos dos intentos fracasaron, pero los delincuentes ganaron una cantidad razonable de dinero considerando el poco trabajo que implicaba.
Es razonable esperar que los estafadores incrementen este tipo de ataques en el futuro. Todo lo que necesitan es:
- Información sobre la empresa y los miembros clave de su equipo (todo en su sitio web)
- Fotografías de muestra del empleado objetivo (fáciles de obtener en línea y a través de las redes sociales)
- Muestras de la voz de la persona (fáciles de obtener llamando o buscando presentaciones en línea)
El software necesario para realizar esta falsificación está disponible en línea de forma gratuita. Todo lo que alguien necesita es una computadora con las capacidades gráficas adecuadas para lograrlo y un poco de conocimiento de cómo funciona la empresa.
Protección contra deepfakes
Ya existe un software que protege contra deepfakes. Al utilizar un motor basado en inteligencia artificial, estos programas identifican videos potencialmente falsos analizando los reflejos de la luz y otros elementos de la imagen.
Esta tecnología es útil con el material publicado en línea, pero ¿lo protege si alguien lo llama? ¿Puede detener este tipo de ataque cuando ocurre? Todavía no. En este punto, su mejor protección proviene de la capacitación en concientización sobre seguridad, una mejor protección de datos y políticas internas inteligentes.
Capacitación en concientización sobre seguridad
La formación en materia de seguridad destaca los posibles vectores de ataque. Si el director ejecutivo de nuestro ejemplo anterior hubiera estado al tanto de la tecnología, habría sido más cuidadoso antes de realizar la primera transferencia.
Muchas empresas realizan pruebas de phishing a los empleados para ver si pueden reconocer un ataque. Las empresas pueden realizar pruebas similares utilizando el software en línea. Por ejemplo, podrías intentar configurar una videollamada falsa y ver si puedes engañar al empleado.
La capacitación en concientización sobre seguridad también permitirá a los empleados comprender mejor los peligros de compartir información en línea.
Mejor protección de datos
Aquí no nos referimos sólo a la protección de los datos de los clientes. Las empresas deben hacer un mayor esfuerzo para mantener también en secreto los procedimientos de la empresa. Por ejemplo, deberían protegerse los procesos de autorización.
Políticas internas inteligentes
El uso de un sistema de autorización multifactor es una excelente manera de evitar el acceso no deseado a sus datos. Las empresas pueden utilizar un sistema similar para garantizar que más de una persona controle todas las transferencias de dinero.
Es más difícil detener la difusión de información. Por ejemplo, se puede engañar a los empleados para que den información a alguien que se hace pasar por un cliente. La mejor manera de combatir esto es ofrecer a los clientes opciones sólidas de autoservicio. Luego, los empleados deben recibir orientación clara sobre qué información de seguridad solicitar a los clientes que realizan consultas telefónicas.
Notas finales
Los ciberdelincuentes son cada vez más sofisticados. Las herramientas basadas en IA son tan útiles para ellos como para el resto de nosotros. Para evitar ser víctima de un deepfake, las empresas deben asegurarse de que sus empleados comprendan las señales de este vector de ataque.