El teu cap en pantalla no és el teu cap: la nova era del frau del CEO per videotrucada

Estàs treballant i el teu cap et convoca a una videotrucada urgent. T'hi connectes i et demana amb presses que facis un pagament a un nou proveïdor com més aviat millor. Necessita tancar ja un acord de gran importància. Fas el que et demana; al cap i a la fi, qui hi ha a la teva pantalla és el teu cap. O no ho és?

Aquest és el modus operandi habitual d'una nova modalitat del frau del CEO, que se sustenta sobre deepfakes generats mitjançant eines d'intel·ligència artificial.

En aquests casos, la ciberseguretat ha d'anar més enllà de tallafocs o eines de biometria: l'esperit crític dels empleats és primordial per evitar les seves conseqüències.

El frau del CEO se sofistica

L'ús d'eines d'intel·ligència artificial per clonar veus i generar vídeos deepfake ha portat estafes com el frau del CEO a un nou nivell. Ja ho advertia el CEO d'Open AI, Sam Altman , l'estiu passat: la capacitat de la IA per suplantar les persones pot desfermar una autèntica crisi d'estafes.

A mesura que avança la tecnologia, també ho fan les tècniques dels ciberdelinqüents. Era qüestió de temps que utilitzessin les eines de clonatge de veu i generació de vídeo per fer atacs de spear phishing, és a dir, dirigits a persones d'alt valor dins una organització per intentar enganyar-les.

En això consisteixen precisament els nous fraus del CEO: vídeos fets a mida per enganyar treballadors d'una empresa, normalment personal del departament financer, fent-los creure que és el seu cap qui els demana fer un pagament.

També es pot utilitzar per obtenir informació confidencial de la mateixa empresa, els seus empleats o els seus clients. No és exclusiu de grans companyies: les pimes també poden ser un objectiu per a aquests atacs en què es clonen veu i imatge en temps real.

Algunes grans companyies ja han patit aquest tipus d'atacs i els han esquivat per molt poc. D'altres no han pogut evitar-ne les conseqüències: un treballador del departament financer d'una multinacional va pagar poc més de 21 milions d'euros  a uns estafadors després d'una convincent videotrucada amb el que van resultar ser recreacions deepfake de directius i altres companys de l'empresa.

Com funciona el frau del CEO mitjançant videotrucada

Per saber com es desenvolupa el frau del CEO mitjançant videotrucada, recordarem què són els deepfakes en què es basen aquests delictes.

Es tracta de vídeos sintètics basats en intel·ligència artificial que intercanvien rostres i alteren expressions, a més de generar escenaris nous si cal.

Són capacitats que permeten simular que algú ha dit o ha fet alguna cosa que, en realitat, mai no ha fet. Els límits entre la realitat i l'engany es difuminen, de manera que és fàcil enganyar fins i tot el qui coneix la persona suplantada en el vídeo.

En el frau del CEO mitjançant videotrucada es clona la veu i se suplanta la imatge d'un alt directiu d'una empresa per manipular un dels seus subordinats.

Tal com explica McAfee , la tecnologia darrere dels vídeos deepfake és força similar a la que s'utilitza per clonar la veu. En aquest últim cas, s'obté una mostra de la veu de la persona que es vol suplantar (n'hi ha prou amb uns segons d'un missatge de veu) i s'analitza mitjançant models d'intel·ligència artificial, els quals aprenen a imitar-la.

Els deepfakes en vídeo van un pas més enllà : els estafadors recopilen imatges i vídeos d'una persona de fonts públiques, com ara les xarxes socials i els llocs web d'empreses.

Es tracta d'aconseguir imatges des d'angles diferents, amb diferents expressions, il·luminació, trets facials, gestos i moviments: com més dades visuals tinguin, més realista serà el deepfake final.

Una vegada entrenada, l'eina d'intel·ligència artificial pot superposar la veu i la cara sintètiques sobre un vídeo d'una altra persona. És capaç de coordinar la cara de la persona suplantada amb les expressions i els moviments de l'estafador. L'àudio, que pot ser una veu clonada, se sincronitza llavors amb el vídeo.

Ciberseguretat: com es pot reconèixer i actuar davant un frau del CEO amb deepfake

Es tracta d'atacs molt més convincents que el tradicional frau del CEO mitjançant correu electrònic, encara que s'aprofitin igualment de l'autoritat de la persona suplantada per moure a l'acció la víctima.

Elements comuns en un frau del CEO per videotrucada

Normalment, aquest tipus de fraus tenen certs elements comuns que convé conèixer perquè ens poden ajudar a identificar el frau:

• Suplanten algú de l'alta jerarquia d'una empresa. No ha de ser necessàriament el CEO, també pot ser un alt directiu o qualsevol superior de la víctima.
• Fan peticions amb urgència (generalment pagaments o enviament de dades i documentació) perquè a la víctima li falti temps per reflexionar i sospitar sobre l'autenticitat de la videotrucada.
• A vegades involucren fins i tot altres personatges, com un fals advocat que coordina la reunió i fins i tot s'hi connecta, o altres companys de feina.
• Se solen desenvolupar fora dels canals habituals de comunicació de l'empresa.
• Solen demanar confidencialitat per evitar que la petició es comenti amb una altra persona capaç de reconèixer l'engany.

Tots aquests són indicis d'alerta que ens han de fer sospitar.

Què es pot fer per desactivar el frau del CEO

Com que en aquests atacs resulta difícil reconèixer l'engany, convé adoptar certes mesures de prevenció que s'han d'aplicar davant qualsevol petició extraordinària o que impliqui desemborsaments importants per part d'un superior.

• Contactar amb una altra persona i contrastar-ho per un altre mitjà: després de rebre una ordre d'aquestes característiques, convé utilitzar un altre canal verificat per contactar amb la persona que l'ha emès i comprovar que tot és correcte.
• Deixar finestres de “refredament”: algunes companyies estableixen certs marges de temps abans de fer pagaments urgents. Així tenen temps de fer les comprovacions necessàries i descarreguen de responsabilitat els empleats davant possibles pressions.
• Utilitzar claus verbals: acordar certs codis o claus per verificar la identitat en trucades i videotrucades sensibles és una altra mesura de ciberseguretat efectiva.

En qualsevol cas, la millor prevenció sol passar per establir protocols d'actuació, així com  informar i conscienciar la plantilla sobre aquesta mena de riscos. Així, tots els empleats estaran alerta i sabran com actuar.

Una firma d'automòbils de luxe va evitar un frau del CEO mitjançant deepfake perquè l'executiu que va rebre la videotrucada va preguntar al presumpte CEO una cosa que només ell sabia: quin llibre li havia recomanat feia només uns dies. L'estafador no va saber què contestar i va finalitzar la comunicació immediatament.

—

Et recomanem llegir:

• Clonació de veu per IA: com assegurar-te que parles amb qui creus que ho fas
• Converteix la teva pime en una fortalesa amb aquestes claus de ciberseguretat
• Descobreix un món sencer sobre ciberseguretat