Deepfake: la nueva frontera de la ciberseguridad

Desde hacerse pasar por un alto ejecutivo hasta abrir cuentas bancarias de lavado de dinero, el fraude deepfake se está convirtiendo en un problema creciente y plantea nuevos desafíos.

Hace unas semanas, en una videollamada de rutina de la empresa, uno de los grupos de tecnología decidió hacerle una broma al jefe y cinco de ellos se parecieron a él. 

“Fue muy espeluznante. Usaron una imagen publicitaria mía y la persona en la publicidad todavía parpadeaba, movía la cabeza, sonreía, hablaba, decía cosas que no digo, pero era yo ”, Andrew Bud, director ejecutivo del proveedor de autenticación biométrica iProov, recuerda. 

En los últimos años, han comenzado a surgir deepfakes (videos manipulados o grabaciones de audio que parecen mostrar a personas haciendo o diciendo cosas que nunca hicieron o dijeron). La mayoría presenta celebridades o figuras políticas, algunas creadas puramente con fines de diversión y otras como vehículos para la desinformación. 

Amenaza deepfake para las empresas

Sin embargo, ahora han entrado en escena nuevos tipos de deepfake con el objetivo de cometer fraude. De hecho, el uso de tecnologías de audio y video deepfake podría convertirse en una gran amenaza cibernética para las empresas en los próximos años, advierte la firma de análisis de riesgo cibernético CyberCube en un informe reciente .

“Imagine un escenario en el que un video de Elon Musk dando consejos sobre el uso de información privilegiada se vuelve viral, solo que no es el verdadero Elon Musk. O un político anuncia una nueva política en un videoclip, pero una vez más no es real ”, dice Darren Thomson, jefe de estrategia de ciberseguridad en CyberCube. 

“Ya hemos visto estos videos deepfake usados ​​en campañas políticas; Es sólo cuestión de tiempo que los delincuentes apliquen la misma técnica a las empresas y a los particulares ricos. Podría ser tan simple como un mensaje de voz falso de un gerente senior que indique al personal que realice un pago fraudulento o que transfiera fondos a una cuenta configurada por un pirata informático «.

De hecho, este tipo de ataques ya están comenzando a ocurrir. En un ejemplo de alto perfil en 2019, los estafadores utilizaron software de inteligencia artificial que genera voz para falsificar una llamada del director ejecutivo de una empresa alemana a su número opuesto en una subsidiaria del Reino Unido. Engañado, el director ejecutivo del Reino Unido autorizó debidamente un pago de 243.000 dólares a los estafadores. 

“Lo que estamos viendo es que este tipo de ataques se utilizan cada vez más. No son demasiado sofisticados, pero la cantidad de dinero que intentan estafar es bastante alta ”, dice Bharat Mistry, director técnico, Reino Unido e Irlanda, de Trend Micro.

“Estaba con un cliente en el Reino Unido y me estaba diciendo que había recibido un mensaje de voz y que era el director de información pidiéndole que hiciera algo. Sin embargo, sabía que el CIO de la organización estaba de vacaciones y nunca habría telefoneado. No había ningún factor distintivo, por lo que puede ver lo inteligente que es «.

Ataques como este siguen el mismo patrón que las estafas de compromiso de correo electrónico empresarial tradicionales, pero con mucha más sofisticación. 

“Hemos visto todas estas tecnologías en la nube, cosas como análisis, aprendizaje automático e inteligencia artificial, y los deepfakes son solo una extensión de esa tecnología, utilizando la tecnología de manera abusiva”, dice Mistry.

Cuentas bancarias fraudulentas

Otro tipo emergente de fraude deepfake es la creación fraudulenta de cuentas, ya sean cuentas bancarias, cuentas de negociación de divisas o cuentas de negociación de acciones. Estos pueden ser utilizados por el crimen organizado para fines de lavado de dinero. Y con el advenimiento de la pandemia de coronavirus, lo que antes era un cambio gradual hacia la creación de cuentas remotas ahora se ha acelerado enormemente, junto con el potencial de fraude.

La configuración de una cuenta de forma remota generalmente implica un proceso de dos pasos: primero, proporcionar un escaneo de un documento de identidad y luego presentar una selfie. La selfie a menudo se genera pidiendo al solicitante que grabe un video en el que recite palabras o números, o quizás a través de una breve entrevista en video con un agente. 

“Obviamente, hasta ahora ha sido una buena forma de protegerse contra el fraude, pero ahora los estafadores pueden falsificarse a sí mismos para parecer víctimas inocentes”, dice Bud. 

“Es posible que hayan robado o copiado los documentos de una víctima inocente de alguna fuente, y luego todo lo que tienen que hacer es hacer una profunda falsa cara de la víctima y realizar la entrevista con el agente, y el agente nunca se enterará”.

En un informe de finales del año pasado, la empresa de verificación de identidad Jumio descubrió que las tasas de fraude basado en selfies eran cinco veces más altas que el fraude basado en identificación y eran particularmente frecuentes cuando los usuarios pueden cargar sus propias imágenes de identificación. Esto significa que los estafadores pueden manipular una identificación legítima o utilizar una imagen de una identificación encontrada en la web oscura o de una búsqueda de imágenes de Google.

Las instituciones financieras se están dando cuenta del riesgo. En una encuesta para iProov, las tres cuartas partes de los expertos en ciberseguridad del sector financiero dijeron que estaban preocupados por el fraude deepfake y casi dos tercios dijeron que esperaban que la amenaza empeorara.

“Bancos como ING, Rabobank en los Países Bajos, Standard Bank en Sudáfrica y el gobierno de Singapur, que suministra a la industria de servicios financieros, todos son conscientes de la amenaza de los deepfakes y están tomando medidas proactivas”, dice Bud.

Sin embargo, solo el 28 por ciento de los encuestados dijo que pondría en marcha planes para protegerse contra las falsificaciones profundas, y el 41 por ciento planea hacerlo en los próximos dos años. 

Y con otra encuesta de clientes bancarios que revela que la mayoría no estaba preocupada por el fraude deepfake, la introducción de medidas de seguridad adicionales puede ser problemática.

“Existe una gran diferencia entre cuánto piensan los expertos en ciberseguridad que las personas se preocupan y cuánto les importa, y eso se convierte en un problema tan pronto como intentan implementar medidas intrusivas”, dice Bud.

«Existe el riesgo de que, si se protegen contra deepfakes de formas que impactan en la experiencia del cliente, se resista de inmediato».

Cómo las organizaciones están contraatacando

La primera línea de defensa contra los ataques de suplantación de identidad, dice Mistry, es asegurarse de que se implementen todos los procedimientos de seguridad estándar y de incorporar comprobaciones automáticas.

“Si están solicitando una transferencia de dinero o para cambiar algo o enmendar algo en un documento, entonces debe ser verificado a través de otro canal”, dice.

Las instituciones financieras, mientras tanto, están recurriendo a métodos más sofisticados para detectar deepfakes.

La detección pasiva de vivacidad utiliza algoritmos para detectar señales en una imagen que no es genuina al examinar texturas, bordes y similares.

Sin embargo, cada vez se utiliza más la detección activa, que introduce información impredecible que el deepfaker no puede predecir y no puede falsificar de forma eficaz. 

“Lo que hacemos es iluminar el tema; utilizamos la pantalla del dispositivo de la persona para iluminarla con una secuencia de colores que cambia rápidamente ”, dice Bud.

«Luego, transmitimos el video de su rostro a nuestros servidores y analizamos la forma en que la luz se refleja en su rostro y la secuencia de colores reflejada en su rostro, y este es un elemento impredecible que es difícil para un deepfake replicar de manera efectiva».

Lo que está claro es que el uso de deepfakes para el fraude es un riesgo creciente y en los próximos años la carrera armamentista entre estafadores y profesionales de la seguridad solo aumentará.

“Por el momento está en su infancia; Muchos ciberdelincuentes todavía buscan usar ransomware o comprometer el correo electrónico comercial, pero a medida que estos canales comienzan a agotarse y la gente se adapta, creo que van a pasar a deepfakes cada vez más. Por el momento, el único factor limitante es la tecnología ”, concluye Mistry.