Inteligencia Artificial vs Deepfake: Las compañías corren un grave peligro con esta práctica, cada vez más utilizada por los ciberdelincuentes. Qué medidas tomar para que los empleados no caigan en el engaño.
Una foto del Papa Francisco vestido con un camperón blanco de la marca Balenciaga recorrió el planeta. Después de las risas la pregunta llegó en cada casa y oficina: ¿es real? Este interrogante, que surgió entre risas, también comenzó a replicarse. La razón decía que no era posible que el Sumo Pontífice vistiera de esa manera, pero estaba tan bien lograda que muchos tenían dudas. Efectivamente la imagen no era real, fue creada con la herramienta de inteligencia artificial Midjourney. De eso, justamente, se trata el Deepfake y su gran potencial para el engaño.
Este tipo de situaciones serán cada vez más frecuentes porque la Inteligencia Artificial (IA) continúa expandiéndose a un ritmo acelerado. Su utilización es cada vez más habitual tanto dentro de las compañías como en los hogares. Los problemas surgen cuando son los criminales quienes sacan provecho de esta tecnología para conseguir éxito en sus delitos. ¿Qué pueden hacer? Difundir información falsa sobre una empresa, revelar información confidencial obtenida a través del engaño y obtener dinero a través de estafas, son solo algunos ejemplos.
Sobre Deepfake
Este término se refiere a una técnica de suplantación de identidad que se vale de una tecnología avanzada de IA para recopilar datos sobre movimientos físicos, rasgos faciales y la voz de una persona. Luego los procesa a través de algoritmos de aprendizaje no supervisados conocidos como RGA (Red generativa antagónica), y crea audios, videos o imágenes falsas pero muy realistas.
Esta técnica, que surgió para uso recreativo o cómico, ya se está utilizando por los delincuentes informáticos para dar mayor verosimilitud a sus engaños.
¿Cómo pueden engañar a los empleados? Los ejemplos son innumerables, pero ya se han conocido casos en los que esta tecnología permitió que los cibercriminales pudieran hacerse pasar por directivos de compañías en reuniones virtuales o a través de mensajes de voz y llamadas. Una vez lograda la suplantación de identidad, engañaron a los colaboradores y extrajeron información sensible o los convencieron de transferir fondos monetarios.
Ya se han visto incidentes en los que los delincuentes solicitan miles e incluso millones de dólares a las víctimas. Entre ellos el director ejecutivo de una firma energética británica fue estafado por un monto de US$ 243.000 mediante un Deepfake de voz. En este audio falso el director de la empresa matriz le solicitaba una transferencia de fondos de emergencia. La falsificación fue tan convincente que no se le ocurrió comprobarlo; la transferencia de fondos no se realizó a la sede central sino a la cuenta bancaria de un tercero. El director ejecutivo comenzó a sospechar cuando su «jefe» solicitó otra transferencia. En esta ocasión, sonaron las alarmas, pero era demasiado tarde para recuperar los fondos que ya había transferido.
“Los autores de Deepfake también puedan chantajear a presidentes de empresas amenazándolos con publicar un video falso que puede perjudicarlos, a menos que les envíen un pago. Incluso algún intruso podría entrar en una red simplemente sintetizando una videollamada de su director de TI y engañando a los empleados para que proporcionen sus contraseñas. Esto permitiría a los hackers acceder a las bases de datos confidenciales. A medida que la tecnología se vuelve menos costosa, cabe esperar que surjan nuevos usos de Deepfake para el chantaje y el fraude”, sostienen desde la compañía de seguridad informática Kaspersky.
Según la firma internacional Netskope hay cinco claves que toda compañía debería poner en práctica para protegerse ante este tipo de ciberataques:
- Planificar los simulacros y los procedimientos de respuesta. Los planes de seguridad deben incluir los pasos a seguir en caso de ataque que sean claros y permitan una mejor reacción por parte de la organización.
- Concienciar a los empleados. Los colaboradores deben constituir una importante línea de defensa que haga frente de manera efectiva a los ataques de Deepfake.
- Elaborar procesos de verificación secundarios para las operaciones sensibles. Confiarse es un error común, y la doble verificación es una ayuda para contrarrestar los ataques cibernéticos. Las marcas de agua, la autenticación paso a paso y el doble control son algunos de los métodos de verificación más efectivos.
- Recurrir a un seguro de protección. Las aseguradoras son una buena opción que ampliará el abanico de defensa frente a este tipo de ataques.
- Actualizar las evaluaciones de riesgo. Los Deepfake deben formar parte de los procesos de evaluación de riesgos de ciberseguridad.
Antes de concluir, una reciente investigación de Europol sobre este tema preocupante advierte que los avances en aprendizaje automático e Inteligencia Artificial seguirán mejorando las capacidades del software utilizado para crear falsificaciones profundas.
“Según los expertos la disponibilidad de conjuntos de datos públicos y el aumento de la potencia informática serán los principales impulsores del desarrollo de Deepfake en el futuro y harán que sea más difícil distinguirlos del contenido auténtico. El aumento en el uso de esta técnica requerirá de legislación para establecer pautas y hacerlas cumplir. Además, las redes sociales y otros proveedores de servicios online deberían desempeñar un papel más importante en la identificación y eliminación del contenido Deepfake de sus plataformas. Asimismo, en la medida en que el público se eduque más sobre estas falsificaciones aumentará la conciencia en todo el mundo por el impacto que ocasiona el Deepfake en las personas, las comunidades y las democracias”, concluye el informe de Europol.