CIBERSEGURIDAD
Videollamadas seguras con tus nietos: habla con ellos con total confianza

Artículo
Los delincuentes suplantan en tiempo real la imagen y la voz de los directivos para engañar a sus subordinados
Tiempo de lectura | 4 min.

Estás trabajando y tu jefe te convoca a una videollamada urgente. Te conectas y te urge a realizar un pago a un nuevo proveedor lo antes posible. Necesita cerrar ya un acuerdo de gran importancia. Haces lo que te pide, al fin y al cabo, quien está en tu pantalla es tu jefe. ¿O no lo es?
Este es el modus operandi habitual de una nueva modalidad del fraude del CEO que se sustenta sobre deepfakes generados mediante herramientas de inteligencia artificial.
En estos casos la ciberseguridad debe ir más allá de cortafuegos o herramientas de biometría: el espíritu crítico de los empleados es primordial para evitar sus consecuencias.
El uso de herramientas de inteligencia artificial para clonar voces y generar vídeos deepfake ha llevado estafas como el fraude del CEO a un nuevo nivel. Ya lo advertía el CEO de Open AI, Sam Altman , el pasado verano: la capacidad de la IA para suplantar a las personas puede desatar una auténtica crisis de estafas.
A medida que avanza la tecnología, también lo hacen las técnicas de los ciberdelincuentes. Era cuestión de tiempo que utilizaran las herramientas de clonación de voz y generación de vídeo para realizar ataques de spear phishing, es decir, dirigidos a personas de alto valor dentro de una organización para tratar de engañarlas.
En eso consisten precisamente los nuevos fraudes del CEO: vídeos hechos a medida para engañar a trabajadores de una empresa, normalmente personal del departamento financiero, haciéndoles creer que es su jefe quien les pide realizar un pago.
También puede utilizarse para obtener información confidencial de la propia empresa, sus empleados o sus clientes. No es exclusivo de grandes compañías: las pymes también pueden ser un objetivo para estos ataques en los que se clonan voz e imagen en tiempo real.
Algunas grandes compañías ya han sufrido este tipo de ataques y los han esquivado por muy poco. Otras no han podido evitar sus consecuencias: un trabajador del departamento financiero de una multinacional pagó algo más de 21 millones de euros a unos estafadores después de una convincente videollamada con lo que resultaron ser recreaciones deepfake de directivos y otros compañeros de la empresa.
Para saber cómo se desarrolla el fraude del CEO mediante videollamada, vamos a recordar qué son los deepfakes en los que se basan estos delitos.
Se trata de vídeos sintéticos basados en inteligencia artificial que intercambian rostros y alteran expresiones, además de generar escenarios nuevos si es necesario.
Son capacidades que permiten simular que alguien ha dicho o hecho algo que, en realidad, nunca hizo. Los límites entre la realidad y el engaño se difuminan de tal manera que es fácil engañar incluso a quien conoce a la persona a la que se suplanta en el vídeo.
En el fraude del CEO mediante videollamada se clona la voz y se suplanta la imagen de un alto directivo de una empresa para manipular a uno de sus subordinados.
Tal y como explica McAfee , la tecnología detrás de los vídeos deepfake es bastante similar a la que se utiliza para la clonación de voz. En este último caso, se obtiene una muestra de la voz de la persona que se quiere suplantar (unos segundos de un mensaje de voz bastan) y se analiza mediante modelos de inteligencia artificial, que aprenden a imitarla.
Los deepfakes en vídeo van un paso más allá: los estafadores recopilan imágenes y videos de una persona de fuentes públicas como redes sociales o sitios web de empresas.
Se trata de hacerse con imágenes desde ángulos diferentes, con distintas expresiones, iluminación, rasgos faciales, gestos y movimientos: cuantos más datos visuales tengan, más realista será el deepfake final.
Una vez entrenada, la herramienta de inteligencia artificial puede superponer la voz y la cara sintéticas sobre un vídeo de otra persona. Es capaz de coordinar la cara de la persona suplantada con las expresiones y los movimientos del estafador. El audio, que puede ser una voz clonada, se sincroniza entonces con el vídeo.
Se trata de ataques mucho más convincentes que el tradicional fraude del CEO mediante correo electrónico, aunque se aprovechen igualmente de la autoridad de la persona suplantada para mover a la acción a la víctima.
Normalmente este tipo de fraudes tienen ciertos elementos comunes que conviene conocer porque nos pueden ayudar a identificar el fraude:
Todas estas son señales de alerta que deben hacernos sospechar.
Como en estos ataques resulta difícil reconocer el engaño, conviene adoptar ciertas medidas de prevención que se deben aplicar ante cualquier petición extraordinaria o que implique desembolsos importantes por parte de un superior.
En cualquier caso, la mejor prevención suele pasar por establecer protocolos de actuación, así como informar y concienciar a la plantilla sobre este tipo de riesgos. Así, todos los empleados estarán sobre aviso y sabrán cómo actuar.
Una firma de automóviles de lujo evitó un fraude del CEO mediante deepfake porque el ejecutivo que recibió la videollamada preguntó al supuesto CEO algo que solo él sabía: qué libro le había recomendado hacía solamente unos días. El estafador no supo qué contestar y finalizó la comunicación inmediatamente.
—