Hemos visto cómo los deepfakes se utilizan con diferentes fines, desde vídeos comerciales, introducir actores fallecidos en películas, hasta usos menos éticos, como cuando se emplean para propagar falsos mensajes emitidos por personajes públicos o para editar vídeos pornográficos. Pero ¿existe una relación entre los deepfakes y la ciberseguridad?, ¿son los primeros una amenaza para la segunda? Vamos a analizarlo en este artículo.
En este artículo hablamos de:
- ¿Suponen los deepfakes un riesgo para la ciberseguridad de las empresas?
- ¿Se han producido ciberataques que empleen deepfakes?
- ¿En qué tipo de ciberataques se pueden emplear los deepfakes?
- ¿Se espera que aumenten los ataques de deepfakes en el futuro?
- ¿Cómo pueden las empresas prevenir y protegerse de los deepfakes?
¿Suponen los deepfakes un riesgo para la ciberseguridad de las empresas?
Hasta no hace mucho los deepfakes (vídeos o audios en los que se suplanta la identidad de otra persona, hechos mediante IA) eran fáciles de detectar; aún hoy, cuando hablamos de deepfakes en vídeo, es relativamente fácil saber que se trata de una falsificación, bien por el contexto del propio vídeo y de quien aparece en él o bien porque la técnica aún no está del todo perfeccionada, especialmente cuando se usa una app para crear deepfakes en el móvil. Sin embargo, con el desarrollo y mejora de la tecnología y de la IA, puede que no estemos muy lejos de comenzar a ver deepfakes difíciles de reconocer como tales.
Este hecho, sumado a que los ciberdelincuentes muestran un interés cada vez mayor en las capacidades para la suplantación de identidad y la estafa que ofrecen los deepfakes, convierte a estos en un riesgo para la seguridad y ciberseguridad de prácticamente cualquier tipo de organización.
El propio FBI, en un informe publicado en marzo de 2021, identificaba a los deepfake como un importante riesgo para la ciberseguridad empresarial de todo el mundo, con la capacidad de impactar tanto a nivel financiero como de reputación en las empresas a corto plazo.
Quizás uno de los principales riesgos de los deepfakes es que cada vez es menos costoso hacerlos y es relativamente más fácil crearlos gracias a la disponibilidad de diferentes software para ello. Por no mencionar la posibilidad de contratar servicios para crear y usar deepfakes con fines maliciosos en la dark web, tal y como reportó la empresa de ciberseguridad Recorded Future.
Si los deepfakes con fines maliciosos empezaron como una forma de propagar fake news o atacar la reputación y dignidad de personajes públicos o con fines pornográficos, actualmente no son pocos los cibercriminales que ven en ellos una nueva forma de vulnerar la ciberseguridad de las empresas.
¿Se han producido ciberataques que empleen deepfakes?
Aunque como forma de ciberataques los deepfakes aún están en lo que podríamos llamar una fase inicial, sí que encontramos ya algunos ejemplos de ataques en los que se han utilizado. En concreto, en 2019 un directivo del Reino Unido fue engañado a través de un deepfake de voz, para que hiciera una transferencia de 240.000 dólares de su empresa.
También se han producido ataques similares con deepfakes en España y el resto del mundo, puesto que el deepfake de voz es actualmente mucho más fácil de crear y de hacer pasar por la persona real.
¿En qué tipo de ciberataques se pueden emplear los deepfakes?
Los deepfakes tienen potencial para usarse en ciberataques que impliquen llamadas telefónicas o videollamadas, así como en intentos de extorsión o sextorsión, al crear vídeos comprometidos, introduciendo en ellos a un directivo o cargo importante de la empresa, que de ser publicado, en un primer momento podría causar daños reputacionales a la víctima y a la compañía.
Actualmente, son los deepfakes de voz los que más potencial real tienen para causar daños a la ciberseguridad de una empresa. Se trata de una nueva modalidad del fraude del CEO, en la que, tras conseguir varias muestras de voz de un directivo de la compañía, se crea un audio falso para llamar a un empleado y darle instrucciones que permitan a los ciberdelincuentes conseguir sus objetivos (robar dinero, conseguir credenciales o acceso a la red interna de la empresa, etc.).
Los deepfakes de audio son más fáciles de crear y cuentan con menos elementos para poder detectar el engaño que un deepfake de vídeo, por lo que tienen más posibilidades de ser creídos por sus víctimas.
Pero eso no quiere decir que no se intenten usar deepfakes de vídeo, aunque no tanto en videollamadas, sino para crear vídeos para la extorsión de las víctimas.
¿Se espera que aumenten los ataques de deepfakes en el futuro?
La mayoría de expertos prevén el aumento de ataques de deepfakes en el futuro, especialmente porque el desarrollo de esta tecnología y técnica se irá mejorando y permitirá crear vídeos y audios cada vez más parecidos a la realidad, lo que dificultará saber si estamos ante un deepfake o un vídeo real.
Además, los ataques mediante deepfakes pueden llevarse a cabo con una simple llamada telefónica o videollamada, en la que alguien se hace pasar en tiempo real por un directivo o cargo con responsabilidad de la compañía para dar determinadas órdenes a un subordinado. Solo exigen cierta preparación y obtención de información vía ingeniería social y estudio de la empresa y la víctima para poder realizarlo con posibilidades de éxito.
En los casos de extorsión o sextorsión todavía puede resultar más sencillo, porque aunque existen software con los que se puede demostrar que un vídeo es falso, el daño que pueden hacer en un momento inicial a la imagen y reputación de la víctima y de la compañía afectada, pueden tener serias consecuencias.
¿Cómo pueden las empresas prevenir y protegerse de los deepfakes?
La mejor forma de prevenir y protegerse de los deepfakes, especialmente de aquellos que implican deepfakes de voz en tiempo real, es establecer protocolos de ciberseguridad que los incluyan, para, por un lado, establecer quién y cuándo se puede obedecer una orden de un directivo o alto cargo sin consultar a nadie más, y por otro, para formar y concienciar a toda la plantilla sobre este tipo de ataque y qué hacer cuando se sospecha que se está ante una llamada de este tipo.
En ese sentido es importante concienciar a los empleados, especialmente aquellos que tienen la capacidad de mover dinero o de acceder o dar permisos de acceso a la red interna de la empresa, de sospechar de aquellas llamadas donde un directivo o cargo superior les pida hacer una transferencia para alguna operación de la que no se tenían noticias previas o se solicite acceso a la red interna o a información confidencial. Ante esas situaciones, se debe indicar la necesidad de no cumplir inmediatamente con la orden y comprobar su veracidad (por ejemplo, llamando de vuelta al directivo, usando su número de teléfono y preguntándole directamente).
En el caso de los deepfakes de vídeo, hay señales que permiten reconocerlos como falsificaciones, como falta de parpadeo en los ojos, audio y vídeo mal sincronizados, imagen distorsionada, etc.
Y respecto a los deepfakes empleados para la extorsión o sextorsión, como ocurre con el ransomware, se recomienda no pagar a los ciberdelincuentes y denunciarlo antes las autoridades. Además, como hemos dicho, existen software para demostrar que se trata de un vídeo falso.
Finalmente, y a nivel particular, se recomienda reducir la cantidad de vídeos, fotos y audios propios que publicamos en Internet, para evitar suministrar muestras con las que puedan trabajar las IA que realizan los deepfakes.