Por Alberto Trojsi, Cyber Risks Regional Manager para el sur de Europa de Beazley

La Inteligencia Artificial (IA) y las nuevas herramientas denominadas «deepfake» están siendo utilizadas por los ciberdelincuentes para defraudar importantes sumas de dinero a las empresas. Un ejemplo reciente de este nuevo fenómeno en acción se produjo en mayo de este año. Saltó la noticia de una elaborada estafa de deepfake. El grupo británico de ingeniería Arup sufrió una pérdida de 25 millones de dólares cuando un miembro de su equipo financiero, con sede en Hong Kong, fue víctima de una sofisticada estafa de deepfake. 

Los ciberdelincuentes clonaron con éxito la imagen y la voz del Director Financiero de Arup e invitaron a un miembro del equipo financiero a escuchar una videoconferencia, junto con otros «supuestos» empleados (que también eran falsos). Las sospechas iniciales del empleado se disiparon al ver y oír al director financiero de la empresa y a otros colegas hablar de la oportunidad, y transfirió fondos a varias cuentas bancarias con sede en Hong Kong siguiendo las instrucciones del falso director financiero en la llamada. 

Ya no vale ver para creer

Las nuevas tecnologías de IA permiten a los ciberdelincuentes perfeccionar las técnicas existentes, como los correos electrónicos de phishing, al tiempo que dan lugar a nuevos tipos de ataques. Los deepfakes representan una nueva arma en el arsenal de los ciberdelincuentes. El ejemplo de Arup es, por desgracia, un primer ejemplo.

Ahora es casi imposible detectar la voz sintética. Las herramientas de IA fácilmente disponibles pueden crear vídeos parecidos y desarrollar textos que reflejen los estilos de individuos específicos. Esta amenaza no hará sino aumentar. Los datos de nuestro estudio Risk & Resilience muestran que los directivos se sienten expuestos a la creciente amenaza cibernética, y más de una cuarta parte (26%) de los líderes empresariales consideran que los ciberriesgos son la mayor amenaza a la que se enfrentan este año. Sin embargo, es preocupante que el 11% crea que su organización no cuenta con las protecciones adecuadas.

Los ‘deepfakes’ no son la única arma nueva de los piratas informáticos. Las herramientas de ingeniería social mejoradas con inteligencia artificial también suponen una inyección de energía para los piratas informáticos que se encuentran a la zaga de las mejoras de ciberseguridad. La ingeniería social consiste en manipular a las personas para que transfieran dinero o compartan involuntariamente datos confidenciales. Aunque las empresas están invirtiendo en ciberseguridad, y casi una cuarta parte (24%) de los ejecutivos de todo el mundo encuestados tiene previsto hacerlo este año, garantizar que los empleados son conscientes del aumento de los riesgos y pueden detectar ataques no es una ciencia exacta. Independientemente de la formación, el error humano siempre estará presente, sobre todo cuando los correos electrónicos y las llamadas telefónicas y por videoconferencia parecen legítimos. 

Innovación continua

La IA está permitiendo que las técnicas tradicionales de pirateo e ingeniería social sean más fáciles y eficaces de ejecutar. Por ejemplo, ahora se puede entrenar a la IA para que redacte correos electrónicos de phishing utilizando sus capacidades de procesamiento del lenguaje natural. La autenticación es cada vez más problemática. Los hackers pueden eludir la autenticación multifactor (MFA), que tradicionalmente proporcionaba a las empresas una sólida capa de seguridad. Si bien la MFA fue en su día la panacea de la ciberseguridad, hoy ha perdido su poder. Las empresas ya no pueden confiar solo en el MFA para repeler a los hackers, proteger los datos sensibles y proporcionar tranquilidad a las partes interesadas clave.

Los ‘deepfakes’ suponen una clara desviación de las técnicas de pirateo preexistentes y, a pesar de ser una innovación relativamente reciente, ya son muy sofisticadas. Su capacidad para difuminar la distinción entre realidad y manipulación no tiene parangón. La capacidad de los piratas informáticos para replicar la voz y el rostro humanos, con tal eficacia que se puede engañar a los empleados haciéndoles creer que están hablando con un colega en una videollamada, supone un peligro real para las empresas.

Los deepfakes plantean una amenaza particular desde la perspectiva del ransomware. La tecnología y las amenazas que conlleva avanzan a tal velocidad que los legisladores se apresuran a actualizar la legislación vigente. Por ejemplo, hasta abril de este año no se ilegalizó en el Reino Unido la creación de imágenes deepfake sexualmente explícitas sin consentimiento. Resulta preocupante la creciente tendencia a que los estudiantes sean el objetivo de estos deepfakes, cuyos autores suelen exigir el pago de un rescate para evitar la publicación de las imágenes.

Dicho esto, los deepfakes tienen algunas limitaciones. Por ejemplo, todavía no permiten mantener conversaciones en tiempo real, aunque este mes hemos visto ya los primeros desarrollos en este sentido. Además, aunque una tecnología deepfake puede recrear con precisión la apariencia y la voz de alguien, el tono del lenguaje que emplea puede no reflejar el que suele utilizar la víctima, lo que a veces puede delatar la estafa. Sin embargo, dada la velocidad de la innovación en este ámbito, no tardarán en encontrarse soluciones a estas deficiencias.

¿Cómo pueden protegerse las empresas?

Dado que la ingeniería social y la tecnología deepfake son cada vez más eficaces, las empresas deben hacer más hincapié en los controles internos para protegerse contra los errores humanos. Los deepfakes han puesto de manifiesto la necesidad de que las empresas dispongan de estructuras estrictas para regular, por ejemplo, la autorización de pagos a terceros.

Las empresas deben invertir en la formación de sus empleados para asegurarse de que están en condiciones de reconocer posibles estafas de deepfake. A medida que los ciberdelincuentes se vuelven más sofisticados y las estafas más difíciles de detectar, es crucial inculcar una cultura de vigilancia y buenas prácticas. Un dato alentador de nuestro estudio es que casi una cuarta parte (24%) de las empresas de todo el mundo tiene previsto invertir en medidas de ciberseguridad este año. 

Los seguros también pueden desempeñar un papel importante, formando parte de una estrategia más amplia de mitigación de riesgos. Las aseguradoras pueden ofrecer apoyo especializado a medida para ayudar a difundir el conocimiento de las últimas amenazas y aumentar la preparación. Teniendo en cuenta la rápida evolución del panorama de las amenazas, las aseguradoras pueden ser un socio importante para muchas empresas.