Tu jefe en pantalla no es tu jefe: la nueva era del fraude del CEO por videollamada

Estás trabajando y tu jefe te convoca a una videollamada urgente. Te conectas y te urge a realizar un pago a un nuevo proveedor lo antes posible. Necesita cerrar ya un acuerdo de gran importancia. Haces lo que te pide, al fin y al cabo, quien está en tu pantalla es tu jefe. ¿O no lo es?

Este es el modus operandi habitual de una nueva modalidad del fraude del CEO que se sustenta sobre deepfakes generados mediante herramientas de inteligencia artificial.

En estos casos la ciberseguridad debe ir más allá de cortafuegos o herramientas de biometría: el espíritu crítico de los empleados es primordial para evitar sus consecuencias.

El fraude del CEO se sofistica

El uso de herramientas de inteligencia artificial para clonar voces y generar vídeos deepfake ha llevado estafas como el fraude del CEO a un nuevo nivel. Ya lo advertía el CEO de Open AI, Sam Altman , el pasado verano: la capacidad de la IA para suplantar a las personas puede desatar una auténtica crisis de estafas.

A medida que avanza la tecnología, también lo hacen las técnicas de los ciberdelincuentes. Era cuestión de tiempo que utilizaran las herramientas de clonación de voz y generación de vídeo para realizar ataques de spear phishing, es decir, dirigidos a personas de alto valor dentro de una organización para tratar de engañarlas.

En eso consisten precisamente los nuevos fraudes del CEO: vídeos hechos a medida para engañar a trabajadores de una empresa, normalmente personal del departamento financiero, haciéndoles creer que es su jefe quien les pide realizar un pago.

También puede utilizarse para obtener información confidencial de la propia empresa, sus empleados o sus clientes. No es exclusivo de grandes compañías: las pymes también pueden ser un objetivo para estos ataques en los que se clonan voz e imagen en tiempo real.

Algunas grandes compañías ya han sufrido este tipo de ataques y los han esquivado por muy poco. Otras no han podido evitar sus consecuencias: un trabajador del departamento financiero de una multinacional pagó algo más de 21 millones de euros a unos estafadores después de una convincente videollamada con lo que resultaron ser recreaciones deepfake de directivos y otros compañeros de la empresa.

Cómo funciona el fraude del CEO mediante videollamada

Para saber cómo se desarrolla el fraude del CEO mediante videollamada, vamos a recordar qué son los deepfakes en los que se basan estos delitos.

Se trata de vídeos sintéticos basados en inteligencia artificial que intercambian rostros y alteran expresiones, además de generar escenarios nuevos si es necesario.

Son capacidades que permiten simular que alguien ha dicho o hecho algo que, en realidad, nunca hizo. Los límites entre la realidad y el engaño se difuminan de tal manera que es fácil engañar incluso a quien conoce a la persona a la que se suplanta en el vídeo.

En el fraude del CEO mediante videollamada se clona la voz y se suplanta la imagen de un alto directivo de una empresa para manipular a uno de sus subordinados.

Tal y como explica McAfee , la tecnología detrás de los vídeos deepfake es bastante similar a la que se utiliza para la clonación de voz. En este último caso, se obtiene una muestra de la voz de la persona que se quiere suplantar (unos segundos de un mensaje de voz bastan) y se analiza mediante modelos de inteligencia artificial, que aprenden a imitarla.

Los deepfakes en vídeo van un paso más allá: los estafadores recopilan imágenes y videos de una persona de fuentes públicas como redes sociales o sitios web de empresas.

Se trata de hacerse con imágenes desde ángulos diferentes, con distintas expresiones, iluminación, rasgos faciales, gestos y movimientos: cuantos más datos visuales tengan, más realista será el deepfake final.

Una vez entrenada, la herramienta de inteligencia artificial puede superponer la voz y la cara sintéticas sobre un vídeo de otra persona. Es capaz de coordinar la cara de la persona suplantada con las expresiones y los movimientos del estafador. El audio, que puede ser una voz clonada, se sincroniza entonces con el vídeo.

Ciberseguridad: cómo reconocer y actuar ante un fraude del CEO con deepfake

Se trata de ataques mucho más convincentes que el tradicional fraude del CEO mediante correo electrónico, aunque se aprovechen igualmente de la autoridad de la persona suplantada para mover a la acción a la víctima.

Elementos comunes en un fraude del CEO por videollamada

Normalmente este tipo de fraudes tienen ciertos elementos comunes que conviene conocer porque nos pueden ayudar a identificar el fraude:

• Suplantan a alguien de la alta jerarquía de una empresa. No tiene por qué ser el CEO, también puede ser un alto directivo o cualquier superior de la víctima.
• Realizan peticiones con urgencia (generalmente pagos o envío de datos y documentación) para que a la víctima le falte tiempo para reflexionar y sospechar sobre la autenticidad de la videollamada.
• En ocasiones involucran incluso a otros personajes, como un falso abogado que coordina la reunión e incluso se conecta a ella, u otros compañeros de trabajo.
• Se suelen desarrollar fuera de los canales habituales de comunicación de la empresa.
• Suelen pedir confidencialidad para evitar que la petición se comente con otra persona capaz de reconocer el engaño.

Todas estas son señales de alerta que deben hacernos sospechar.

Qué hacer para desactivar el fraude del CEO

Como en estos ataques resulta difícil reconocer el engaño, conviene adoptar ciertas medidas de prevención que se deben aplicar ante cualquier petición extraordinaria o que implique desembolsos importantes por parte de un superior.

• Contactar y contrastar por otro medio: después de recibir una orden de estas características, conviene utilizar otro canal verificado para contactar con la persona que la ha emitido y comprobar que todo es correcto.
• Dejar ventanas de “enfriamiento”: algunas compañías establecen ciertos márgenes de tiempo antes de realizar pagos urgentes. Así dan tiempo para realizar las comprobaciones necesarias y descargan de responsabilidad a los empleados ante posibles presiones.
• Utilizar claves verbales: acordar ciertos códigos o claves para verificar la identidad en llamadas y videollamadas sensibles es otra medida de ciberseguridad efectiva.

En cualquier caso, la mejor prevención suele pasar por establecer protocolos de actuación, así como informar y concienciar a la plantilla sobre este tipo de riesgos. Así, todos los empleados estarán sobre aviso y sabrán cómo actuar.

Una firma de automóviles de lujo evitó un fraude del CEO mediante deepfake porque el ejecutivo que recibió la videollamada preguntó al supuesto CEO algo que solo él sabía: qué libro le había recomendado hacía solamente unos días. El estafador no supo qué contestar y finalizó la comunicación inmediatamente.

—

Te recomendamos leer:

• Clonación de voz por IA: cómo asegurarte de que hablas con quien crees
• Convierte a tu pyme en una fortaleza con estas claves de ciberseguridad
• Descubre un mundo entero sobre ciberseguridad