Cómo las sofisticadas estafas deepfake buscan sacar millones a las empresas de construcción

Los jefes de la empresa de ingeniería Arup en Hong Kong, sin duda, lo han hecho. En febrero, dijeron que los delincuentes utilizaron la tecnología en una estafa sofisticada para convencer a un empleado desventurado de que depositara millones de dólares en cuentas falsas.

Los delincuentes supuestamente lograron esto haciéndose pasar por varios altos cargos de la empresa en una llamada en línea. Aunque no se han confirmado los detalles de cómo funcionó exactamente la estafa, se cree que las voces de la dirección de la empresa fueron "clonadas", lo que permitió que los delincuentes sonaran familiares para el empleado. No se cree que se haya utilizado un vídeo, que requiere una tecnología más sofisticada.

Las voces clonadas (si es que así fue como los presuntos delincuentes llevaron a cabo la estafa) son un ejemplo de tecnología deepfake, que, de la mano de la inteligencia artificial (IA), se está desarrollando a un ritmo vertiginoso.

Definidas como medios sintéticos que han sido manipulados digitalmente para reemplazar de manera convincente la imagen de una persona con la de otra (ya sea su voz, su apariencia o ambas), la tecnología detrás de los deepfakes es compleja.

Nueva tecnología, viejos trucos

Pero, como explican los expertos en seguridad en línea Richard Hughes y Hodei Lopez de la firma global de servicios de TI A&O IT Group , si bien las estafas deepfake son algo relativamente nuevo, se basan en una fórmula probada que involucra ingeniería social.

El phishing por correo electrónico, con el que la mayoría de las personas ya están familiarizadas, sigue el mismo formato. De la misma manera que un correo electrónico que parece provenir de una empresa o contacto de confianza pide al destinatario que haga clic en un enlace sospechoso o que complete un formulario, el deepfake mejora esa sensación de familiaridad al crear una suplantación plausible de una persona real conocida por la víctima antes de aprovecharse de su confianza y buena voluntad para que los delincuentes obtengan lo que quieren.

“Hemos desarrollado lentamente la capacidad de no confiar en el phishing porque es algo muy común hoy en día”, afirma López. “Por eso, el enfoque más reciente va un paso más allá”.

Si la idea de que los criminales puedan determinar el aspecto y el sonido de personas específicas dentro de una empresa y luego crear imágenes convincentes de ellas parece descabellada o difícil de llevar a cabo, entonces considere cuánta información sobre individuos está disponible ahora en línea.

“Hoy en día, nuestras personalidades son muy públicas, sobre todo si estás en los niveles más altos de la alta dirección”, afirma Hughes. “Es probable que hayas hecho presentaciones o dado charlas en vídeo. Tu voz se habrá escuchado. Cuantas más imágenes puedas obtener de una persona, mejor será la calidad del vídeo. Cuantas más muestras de su discurso, mejor será la calidad del audio. Podría tener una conversación contigo y capturar tu voz. No es demasiado difícil”.

Si bien no son necesariamente muy complejas, las estafas deepfake deben estar bien organizadas, afirma. “Se envía una gran cantidad de ransomware a un millón de personas y una o dos pueden responder; no está en absoluto dirigido. Con deepfakes, los delincuentes deben tener un plan que poner en práctica y, sin duda, está dirigido. Esa es la diferencia”.

Las empresas constructoras son un objetivo

Si se necesitan más pruebas que el ataque del que ha sido víctima Arup, las empresas de construcción tienen al menos las mismas probabilidades de ser objetivo de los estafadores de deepfakes que las empresas de cualquier otro sector.

Los criminales en realidad sólo se preocupan por las probabilidades de que su plan tenga éxito y buscan eslabones débiles, dice López.

“Se centrarán en entornos que podrían ser tecnológicamente menos avanzados, como por ejemplo en la construcción”, explica. “En ese entorno, intentarán encontrar personas que posiblemente sean mayores o menos conocedoras de la tecnología, o pueden centrarse en regiones con menos inclinación tecnológica”.

Y en una analogía adecuada para este sector, añade: "Si la seguridad es un muro de ladrillos, nuestro trabajo es mantenerlo en su totalidad. Eso es difícil porque hay muchos ladrillos; si encuentran un solo ladrillo suelto, simplemente lo sacan.

“Pueden elegir a una persona que esté cerca de una posición de poder, una secretaria que quizás no tenga tantos conocimientos tecnológicos y esté dispuesta a ayudar con alguna consulta. Luego usan esa empatía para aplastar a esa persona”.

Cómo estar en guardia

Cuando se trata de cómo proteger su empresa contra ataques deepfake, Hughes afirma que es mejor prevenir que curar.

López señala: “El problema con todos estos intentos de ingeniería social es que te ponen en una situación de presión: ‘Necesito que esto se haga ahora o perderemos negocios’. Que te digan ‘Necesitamos que esto se haga ahora’ te hace perder todas las habilidades de pensamiento crítico que has desarrollado”.

Es necesario alentar a los empleados a cuestionar lo que se les pide que hagan. Mientras tanto, la gerencia debe asegurarse de que sea lo suficientemente accesible para que las personas sientan que pueden cuestionar tales solicitudes.

Imagen: weerapat1003 vía AdobeStock - stock.adobe.com

Al menos en lo que respecta a los videos, los deepfakes aún pueden ofrecer señales reveladoras de que no son reales, al menos por ahora. Debido a que un video deepfake implica superponer una cara falsa sobre una persona real frente a una cámara, habrá desenfoques o artefactos que aparecerán cuando el sujeto se toque la cabeza o la cara.

“Pero para las personas menos técnicas, ven a una persona que reconocen y todo eso desaparece”, dice Hughes.

En cualquier caso, debido a que la clonación de voz (ya sea de texto a voz o de voz a voz en vivo) es más madura y requiere menos tecnología, es más probable que las estafas involucren voz que video en vivo, lo cual es más complicado de lograr con éxito. Y es mucho más difícil de detectar, en particular en una llamada telefónica en la que la calidad del audio es generalmente inferior o se ha agregado ruido de fondo.

Hughes recomienda que se realicen capacitaciones periódicas sobre los aspectos a tener en cuenta. “Tendemos a pensar que seis meses es el tiempo máximo que se puede pasar sin necesitar refuerzos”, afirma. Si el tiempo es superior, la gente tiende a olvidarse de los riesgos, advierte.

También recomienda colocar carteles en comedores y cocinas para reforzar el mensaje, e incluso mensajes en los fondos de pantalla de las computadoras de escritorio de la empresa, cambiando cada pocas semanas, si la empresa es lo suficientemente grande como para gestionarlos de forma centralizada.

López también recomienda reforzar los procesos de la empresa teniendo en cuenta la seguridad. “Por ejemplo, si se realiza una transacción financiera importante, tal vez debería haber un mecanismo adicional que deba ser verificada por varias personas. O tal vez debería haber un paso adicional que deba dar una persona en una posición de liderazgo, como confirmar por SMS, antes de que se pueda realizar”.

En el caso de los delincuentes que piden a las víctimas que realicen pagos, una vez que el dinero llega a su cuenta, es casi seguro que ya es demasiado tarde, dice Hughes. "Estos tipos son bastante organizados. Si depositas dinero en efectivo en una cuenta bancaria, es probable que desaparezca en cuestión de segundos después de que llegue a esa cuenta.

“Por lo tanto, se trata, en primer lugar, de educar a las personas para que detecten las amenazas y, en segundo lugar, de revisar sus procesos para asegurarse de que, si se les anima a realizar algún tipo de transacción que creen que puede ser un poco dudosa, sea más difícil realizarla de inmediato”.

Y concluye: “La situación solo va a empeorar a medida que la tecnología mejore. Cualquiera que tenga una máquina de juegos razonable puede ejecutar un deepfake. Hemos visto una tendencia al alza masiva en la ingeniería social en general durante la COVID y todavía no se ha calmado. Al fin y al cabo, es un negocio que genera un enorme retorno de la inversión”.

Un empleado de Arup es víctima de una estafa de videollamada falsa por 25 millones de dólares La empresa de ingeniería Arup ha confirmado que uno de sus empleados en Hong Kong fue víctima de una videollamada falsa que lo llevó a transferir 200 millones de dólares de Hong Kong (25,6 millones de dólares estadounidenses) del dinero de la empresa a delincuentes.