Los ciberdelincuentes siempre están buscando nuevos métodos para acceder a fondos e información crítica. Esto se debe en gran parte a que las organizaciones se han dado cuenta de los esquemas de phishing y de los furtivos ataques de ransomware del pasado y han implementado herramientas y educado a los empleados para mantener a raya a los ciberladrones.
Pero con la rápida evolución de la inteligencia artificial, especialmente la IA generativa, y la demanda pública de un acceso fácil a la nueva tecnología, la ciberdelincuencia está preparada para dar un gran salto adelante.
Los deepfakes -vídeos, imágenes o audio hechos con IA para que parezcan reales- son las últimas armas del arsenal de los ciberdelincuentes. Se ha producido un notable aumento del uso de deepfakes para cometer ciberdelitos, y lo único que frena el progreso es la sofisticación, la pericia y el esfuerzo necesarios para utilizar eficazmente la tecnología.
Pero a medida que la tecnología sea más accesible y más fácil de usar, es probable que los deepfakes desempeñen un papel importante en el futuro de la ciberdelincuencia. Combatir esta amenaza emergente requerirá ir un paso por delante de los delincuentes mediante el uso de tecnología y protocolos estrictos para bloquear el acceso a fondos o información crítica y, lo que es más importante, educar a los empleados sobre cómo detectar un deepfake.
¿Por qué son tan eficaces los deepfakes?
Los deepfakes, tal y como los conocemos hoy, son vídeos, imágenes o audio creados para parecer realistas mediante el uso de inteligencia artificial. En un sentido más amplio, la tecnología deepfake existe desde hace décadas. Las primeras películas manipulaban imágenes mucho antes de que existieran los ordenadores y la IA. Y las grabaciones de audio falsas son fáciles de crear con o sin el uso de la tecnología moderna: un buen imitador de famosos puede ser igual de eficaz.
La tecnología Deepfake se ha empleado ampliamente en el mundo de la política. Las campañas oficiales suelen evitar el uso de estas tácticas, pero se sabe que los partidarios de un candidato han creado imágenes poco favorecedoras y realistas de oponentes políticos para compartirlas en las redes sociales.
La tecnología tiene algunos usos legítimos, sobre todo en el mundo del cine. La película «Forrest Gump» no podría haberse hecho sin la mezcla del personaje principal de Tom Hanks con imágenes históricas. Más recientemente, la tecnología de IA se utilizó con un efecto fascinante y realista en el documental de Netflix «Dirty Pop», sobre el empresario de boy-band Lou Pearlman. Los productores combinaron diálogos de las memorias de Pearlman con un vídeo de él hablando a la cámara y un «actor de boca» que movía los labios para que coincidieran con las palabras y algunos efectos de IA para unirlo todo. Si el programa no hubiera advertido de antemano a los espectadores de que utilizaba trucos generados por IA para convertir a Pearlman en narrador de su propio documental, sería difícil darse cuenta.
Los deepfakes pueden ser una herramienta eficaz para la ciberdelincuencia debido a la ingeniería social, que es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial, como contraseñas o acceso a cuentas financieras. La ingeniería social suele ser uno de los muchos pasos de un esquema de fraude más complejo.
Si alguna vez has recibido un correo electrónico de aspecto realista que parece ser de tu banco o de tu compañía de televisión por cable, pero en realidad procede de una cuenta de correo electrónico desconocida, se trata de una estafa que utiliza el concepto de ingeniería social. Los deepfakes son similares a una estafa por correo electrónico falso, pero llevados a un nivel nuevo y más sofisticado.
La mayoría de los ciberataques que emplean técnicas de ingeniería social juegan con las emociones de la víctima y crean una sensación de urgencia, porque los ciberdelincuentes quieren poner a la víctima en un estado emocional y hacer que tome una decisión rápidamente, antes de que tenga tiempo de pensarlo críticamente.
Detección y protección de deepfakes
Tan rápido como ha evolucionado la tecnología deepfake, también lo han hecho los métodos para detectar cuándo una imagen, vídeo o archivo de audio es una falsificación generada por la IA. Hay varias herramientas de software disponibles que pueden ayudar a detectar un vídeo falso. Es como utilizar la IA para el bien contra quienes la utilizarían para cometer delitos.
Aparte de dejar que la IA haga todo el trabajo detectivesco, los humanos bien entrenados en la identificación de deepfakes pueden descubrir la verdad simplemente analizando la calidad y consistencia del vídeo o la imagen. Las distorsiones, la borrosidad y la falta de coincidencia de colores u objetos pueden levantar sospechas. Busca también comportamientos inusuales en las personas que hablan en el vídeo, como movimientos extraños, posturas poco naturales y movimientos de los labios que no coincidan con las palabras que se oyen. Por último, es fundamental verificar la fuente y el origen del vídeo o la imagen.
Para proteger a tu organización contra las ciberamenazas de deepfake, sigue aplicando los mismos protocolos de ciberseguridad de eficacia probada que tienes en vigor. Los deepfakes por sí mismos no son una amenaza para la seguridad. Pero pueden ser un medio para que los malhechores burlen los protocolos de seguridad. Los deepfakes, por tanto, son realmente una variación de una amenaza existente que puede hacer que las estafas de ingeniería social sean más difíciles de detectar.
El elemento humano sigue siendo uno de los mayores peligros a los que se enfrentan las organizaciones en materia de ciberseguridad.
Las organizaciones deben seguir utilizando la autenticación multifactor (AMF), un método de autenticación electrónica en el que se concede acceso a un usuario a un sitio web o aplicación sólo después de presentar con éxito dos o más pruebas a un mecanismo de autenticación. Piensa en iniciar sesión en un sitio web con un nombre de usuario, una contraseña y, por último, un código de 6 dígitos enviado como mensaje de texto a tu teléfono inteligente.
A medida que aparecen nuevas amenazas en el horizonte, como los deepfakes, las organizaciones deben revisar y actualizar continuamente la formación cibernética de los empleados.
Los deepfakes requieren un nivel de sofisticación, formación y esfuerzo que la mayoría de los ciberdelincuentes aún no dominan, pero son un riesgo real y emergente. Los empleados deben formarse ahora sobre cómo identificar una amenaza de deepfake y proteger la información crítica de los ciberdelincuentes.
