San José, 9 de marzo (elmundo.cr) – La IA generativa (GenAI) ha democratizado la creación de archivos de audio y video falsos al punto que crear un clip falso es tan fácil como presionar uno o dos botones. Los deepfakes se pueden utilizar de diversas formas: desde eludir la autenticación y los controles hasta infiltrarse en las organizaciones creando un candidato falso y sintético para los procesos de selección de personal. Sin embargo, podría decirse que la mayor amenaza que plantean es el fraude financiero/transferencias bancarias y Secuestro de ejecutivos. ESETlíder en detección proactiva de amenazas, ofrece herramientas para detectar si una llamada es falsa.

Él El gobierno británico confirma que el año pasado se compartieron hasta 8 millones de clips falsos, en comparación con los 500.000 compartidos en 2023. El número real podría ser mucho mayor y, teniendo esto en cuenta, las organizaciones tienden a subestimar esta amenaza.

Como se ha demostrado un experimento Según Jake Moore, asesor de seguridad global de ESET, lanzar un ataque de audio deepfake nunca ha sido tan fácil. Todo lo que se necesita es un breve clip de la víctima que se va a falsificar y GenAI puede hacer el resto. Según ESET, así es como podría funcionar un ataque:

1. Un atacante elige a la persona que quiere imitar. Podría ser un director ejecutivo, un director financiero o incluso un proveedor.
2. Encuentre una muestra de audio en línea, lo cual es bastante fácil para los ejecutivos de alto nivel que hablan regularmente en público. Puede provenir de una cuenta de redes sociales, una llamada sobre resultados, una entrevista en video o televisión, u otra fuente. Unos pocos segundos de grabación deberían ser suficientes.
3. Seleccionas la persona a la que quieres llamar. Esto puede requerir una investigación secundaria, generalmente en LinkedIn para buscar personal de la mesa de ayuda de TI o miembros del equipo de finanzas.
4. Puede llamar a la persona directamente o enviarle un correo electrónico con anticipación: por ejemplo, un director ejecutivo que solicita una transferencia de dinero urgente, un restablecimiento de contraseña o una autenticación multifactor (MFA), o un proveedor que solicita el pago de una factura vencida.
5. Llaman al objetivo preseleccionado y utilizan audio deepfake generado por GenAI para hacerse pasar por el director ejecutivo/proveedor. Dependiendo de la herramienta, pueden ceñirse al lenguaje acordado previamente o utilizar un método más sofisticado de “voz a voz”, en el que la voz del atacante se traduce a la de la víctima casi en tiempo real.

«Este tipo de ataque es cada vez más barato, más fácil y más convincente. Algunas herramientas son incluso capaces de insertar ruido de fondo, pausas y tartamudeos para hacer la voz imitada más creíble. Cada vez imitan mejor los ritmos, tonos y tics verbales de cada hablante. Y cuando se lanza un ataque por teléfono, puede ser más difícil para la persona que responde detectar errores relacionados con la IA». advierte Macio Micucci, investigador de seguridad informática de ESET Latinoamérica.

Los atacantes también pueden utilizar tácticas de ingeniería social, como presionar a la persona para que responda urgentemente a su solicitud para lograr sus objetivos. Si a esto le sumamos el hecho de que a menudo se hacen pasar por altos ejecutivos, es fácil entender por qué algunas víctimas son engañadas. Uno de los mayores errores ocurrió en 2020 cuando un empleado por una empresa en los Emiratos Árabes Unidos al creer que su director había llamado para solicitar una transferencia de fondos de 35 millones de dólares para una transacción de fusión y adquisición.

Sin embargo, hay formas de detectar a un estafador. Desde ESET afirman que dependiendo de lo sofisticada que sea la GenAI que utilicen podrá detectar:

• Un ritmo antinatural en el discurso del orador.
• Un tono emocional anormalmente plano en la voz del hablante.
• Respiración antinatural o no respirar en absoluto
• Un sonido inusualmente robótico (cuando se utilizan herramientas menos avanzadas)
• El ruido de fondo está extrañamente ausente o es demasiado consistente

Además, desde el punto de vista de empresa, es recomendable empezar a formar y concienciar a los empleados. Según ESET, estos programas deberían actualizarse para incluir simulaciones de audio deepfake para garantizar que los empleados sepan qué esperar, qué está en juego y cómo comportarse. Se les debe enseñar a reconocer los signos reveladores de la ingeniería social y los escenarios típicos de deepfake. Para comprobar si los empleados dominan el proceso correcto, se deben realizar ejercicios del equipo rojo:

• Verificación fuera de banda de cada solicitud telefónica, es decir, uso de cuentas de mensajería corporativa para verificación independiente con el remitente.
• Dos personas que firman transferencias financieras importantes o cambios en los datos bancarios del proveedor.
• Contraseñas o preguntas preestablecidas que los ejecutivos deben responder para demostrar que son quienes dicen ser por teléfono

«Las falsificaciones son simples y cuestan poco producirlas. Dadas las enormes sumas de dinero que los estafadores pueden robar, es poco probable que veamos el fin de las estafas de clonación de voz en el corto plazo. Por lo tanto, la mejor opción que tiene una empresa para mitigar el riesgo es un enfoque triple basado en las personas, los procesos y la tecnología. Para adaptarse a los avances de las innovaciones en IA, es importante que se revisen periódicamente. Lo nuevo». Panorama del fraude cibernético requiere atención constante”. concluye Micucci de ESET.