Desde ESET advierten que es cada vez es más difícil distinguir lo real de lo generado por inteligencia artificial, y que la suplantación de voz ya se usa para atacar a empresas.
Foto:
Centroamérica. La IA Generativa (GenAI) democratizó la creación de audio y vídeo falsos, hasta el punto de que generar un clip fabricado es tan fácil como pulsar un botón o dos.
Las deepfakes pueden ser usadas de varias formas: desde eludir autenticaciones y controles, hasta infiltrarse en organizaciones creando un candidato falso y sintético para procesos de selección de personal. Sin embargo, podría decirse que la mayor amenaza que plantean es el fraude financiero/transferencias bancarias y el secuestro de cuentas de ejecutivos.
ESET, compañía líder en detección proactiva de amenazas, acerca herramientas para poder identificar cuando una llamada es falsa.
El Gobierno británico afirma que el año pasado se compartieron hasta 8 millones de clips falsos, frente a los 500 mil que habían sido compartidos en 2023. La cifra real puede ser mucho mayor y, así las cosas, las organizaciones tienden a subestimar esta amenaza.
Como ha demostrado un experimento de Jake Moore, Global Security Advisor de ESET, nunca ha sido tan fácil lanzar un ataque de audio deepfake. Todo lo que se requiere es un clip corto de la víctima para ser suplantado y GenAI puede hacer el resto.
“Este tipo de ataque es cada vez más barato, sencillo y convincente. Algunas herramientas son capaces incluso de insertar ruido de fondo, pausas y tartamudeos para que la voz suplantada resulte más creíble. Cada vez imitan mejor los ritmos, las inflexiones y los tics verbales propios de cada orador. Y cuando un ataque se lanza por teléfono, los fallos relacionados con la IA pueden ser más difíciles de detectar para quien atiende”, advierte Macio Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
Los atacantes también pueden utilizar tácticas de ingeniería social, como presionar a que la persona responda urgentemente a su petición, con el fin de lograr sus objetivos. Si a esto se le añade que a menudo se hacen pasar por un alto ejecutivo, es fácil ver por qué algunas víctimas son engañadas.
Uno de los mayores errores se produjo en 2020, cuando se engañó a un empleado de una empresa de los Emiratos Árabes Unidos haciéndole creer que su director había llamado para solicitar una transferencia de fondos de 35 millones de dólares para una operación de fusión y adquisición.
Cómo detectar un impostor
Un ritmo antinatural en el discurso del orador
Un tono emocional antinaturalmente plano en la voz del orador
Respiración antinatural o incluso frases sin respiración
Un sonido inusualmente robótico (cuando se utilizan herramientas menos avanzadas)
Ruido de fondo extrañamente ausente o demasiado uniforme
“Las falsificaciones son sencillas y su producción cuesta poco. Dadas las enormes sumas que pueden obtener los estafadores, es poco probable que veamos pronto el final de las estafas de clonación de voz. Por lo tanto, la mejor opción que tiene una organización para mitigar el riesgo es un triple enfoque basado en las personas, los procesos y la tecnología. Para que se adapte a medida que avanza la innovación en IA, es importante que sea revisado periódicamente. El nuevo panorama del ciberfraude exige una atención constante”, concluye Micucci.
