¿Estamos preparados para reconocer un ataque de “Deepfake”?

El deepfake es un fraude que hace uso de la Inteligencia Artificial (AI), para extraer datos, como imágenes o audios, relacionados a una persona.

El distanciamiento social que experimentamos, producto del COVID-19, ha generado una aceleración en la transformación digital de las organizaciones, priorizando las llamadas telefónicas, videoconferencias y el uso de medios digitales sobre las reuniones presenciales tradicionales. Sin embargo, esta nueva forma de trabajo trae consigo nuevos desafíos. Por ejemplo, ¿Qué pasaría si el CEO de su organización los llamara para pedirles una transferencia de fondos hacia una cuenta bancaria externa? Peor aún, ¿Qué harían si luego descubriesen que quien lo llamó no era realmente el CEO?

Este nuevo tipo de fraude se basa en la técnica conocida como deepfake, combinación de los conceptos en inglés deep learning (aprendizaje profundo) y fake (falso) que hace uso de tecnologías disruptivas, como la Inteligencia Artificial (AI), para extraer patrones de datos contenidos en un conjunto de imágenes o audios digitales relacionados a una persona. El siguiente paso involucra la aplicación de técnicas de aprendizaje como Machine Learning para lograr una superposición convincente de datos extraídos sobre otra persona. Finalmente, el objetivo es lograr una personificación que puede llegar a igualar, no solo la apariencia y la voz, sino también los gestos y la vocalización de una persona.

A pesar de lo futurista que suena es posible que ya hayamos interactuado con esta tecnología. De acuerdo con la firma de seguridad Sensity, a julio de 2019, el 95% del uso del deepfake estaba destinado al entretenimiento, en particular, en las redes sociales más difundidas. Desde conocidos videos deepfake de personajes como Mark Zuckerberg, Cofundador de Facebook, hasta Vladimir Putin, presidente de Rusia. En el caso de Zuckerberg, el video describe cómo una organización le habría mostrado el potencial de manipular a la sociedad para obtener gratuitamente la información de sus usuarios, finalizando con la frase “mientras más te expresas, más nos perteneces”; en el video de Putin, él hablaba acerca de la manipulación de las campañas electorales de Estados Unidos en el año 2016.

Sin embargo, en los últimos meses, la tecnología de los deepfakes ha sido también utilizada por cibercriminales con objetivos políticos y/o para generar pérdidas económicas en las organizaciones. Este último escenario podría, además, poner en riesgo la reputación de las empresas a través del deterioro de la relación con clientes, proveedores e inversionistas.

A continuación, se presentan algunos casos importantes ocurridos en los últimos meses:

  • Intento de transferencia de fondos: En julio de 2020, la consultora de seguridad americana, Nisos, publicó un artículo relatando cómo el empleado de una empresa de tecnología (no identificada) recibió un mensaje de voz del CEO solicitando urgentemente una transferencia bancaria para finalizar un acuerdo de negocio. Ante este pedido, el empleado reaccionó inicialmente con sospecha y luego de confirmar con el equipo del área legal se descubrió que se trataba de un intento de fraude.
  • Golpe de estado: Un video que habría sido considerado deepfake de Ali Bongo, Presidente de Gabón, causó dudas sobre el estado de salud del Presidente. En consecuencia, un grupo de militares de Gabón consideraron que no estaba apto para gobernar y decidieron realizar un golpe de Estado.
  • Pérdida de US$ 243,000: En agosto de 2019, el Wall Street Journal publicó un artículo donde describe cómo una empresa (cuyo nombre no fue revelado) domiciliada en el Reino Unido fue víctima de un ciberataque que utilizó deepfake para suplantar la voz del CEO corporativo. De acuerdo con un ejecutivo británico, la voz del CEO corporativo emuló su acento alemán y solicitó realizar una transferencia urgente a la cuenta bancaria de un proveedor húngaro; ocasionando, así, una pérdida de US$ 243,000.

De acuerdo con la firma de seguridad ESET, esta modalidad de ciberataques será cada vez más frecuente, apoyándose de la inteligencia artificial para realizar ataques de suplantación en tiempo real. El costo de las tecnologías necesarias para desplegar un ataque basado en deepfake es relativamente bajo. Existen softwares que pueden ser descargados de forma gratuita y que pueden ser utilizado para preparar un ataque de este tipo, siendo solamente necesario adquirir un hardware que permita procesar los datos. El costo de este sistema bordea los US$ 522, según la web de noticias tecnológicas Ars Technica.

En adición, de acuerdo con el laboratorio de ideas Carnegie Endowment for International Peace, se requiere un mínimo de 3 segundos de audio de una persona para iniciar un proceso básico de suplantación a través de deepfake. Este dato es muy relevante hoy en día, en particular considerando la gran cantidad de contenido (audio y video) que solemos publicar en nuestras redes sociales, volviéndonos potenciales candidatos a la suplantación.

En este contexto, resulta importante que las organizaciones puedan tener una política clara de protección y respuesta ante el deepfake, que pueda considerar, entre otros, los siguientes aspectos:

  1. Entrenamiento: Debido a que el problema generado por el deepfake se basa en la percepción de confianza sobre la información, es importante entrenar de forma efectiva a todo el personal con el objetivo de que puedan evaluar con escepticismo las solicitudes poco usuales y recurrir a mecanismos seguros de comunicación para confirmar la información o instrucciones recibidas.
  2. Análisis forense: La aplicación de técnicas avanzadas de cómputo forense permiten evaluar la integridad de un mensaje, a través del análisis de la metadata (atributos tecnológicos) del mensaje, así como la identificación de patrones en el contenido del mismo (naturalidad del movimiento, secuencia de cuadros, consistencia de la iluminación y sombras, entre otros).
  3. Blockchain: Esta tecnología permite insertar datos de validación dentro de la información corporativa, proporcionando así un nivel de seguridad e integridad ante la manipulación o falsificación de contenido. Con apoyo de esta tecnología, el material oficial y verídico en una organización tendría una validación exitosa en la base de datos Blockchain, mientras que el material editado tendría una validación fallida.

El deepfake es un ejemplo actual de cómo los ciberataques se vuelven cada vez más sofisticados aplicando, inclusive, tecnologías disruptivas como la inteligencia artificial a los esquemas tradicionales de phishing e ingeniería social. Este tipo de fraude aprovecha las características de nuestra modalidad actual de trabajo remoto y tiene el potencial de propagarse rápidamente. A futuro, el deepfake podría generar un importante problema de confianza en las organizaciones y el público en general, por lo que resulta clave trabajar pronto en soluciones que permitan a las organizaciones mitigar el potencial impacto al que podrían estar expuestas.

Resumen

Este tipo de fraude conocido como deepfake, basado en la combinación de los conceptos en inglés deep learning (aprendizaje profundo) y  fake (falso) hace uso de tecnologías disruptivas, como la Inteligencia Artificial (AI) para extraer patrones de datos contenidos en un conjunto de imágenes o audios digitales relacionados a una persona. El siguiente paso involucra la aplicación de técnicas de aprendizaje como Machine Learning para lograr una superposición convincente de datos extraídos sobre otra persona. Finalmente, el objetivo es lograr una personificación digital de una persona.

Fuente: ey.com | Por Henry Matta Forensic & Integrity Risk Services Senior Manager, EY Perú