Contenido Exclusivo

¡Postúlate para los Premios a “Los Mejores 100 CIO de México 2024”!

CIO Ediworld se complace en anunciarle la apertura de la convocatoria para recibir...

¡Convocatoria Abierta! Los Mejores 20 CISO de México 2024

CIO Ediworld le invita a participar en la tercera edición...

Los ciberdelincuentes tienen un nuevo objetivo: tu mente

Era enero de 2024 cuando un empleado de finanzas de una multinacional con sede en Hong Kong recibió el correo electrónico del director financiero de la empresa en el Reino Unido. El director financiero hablaba de realizar transacciones confidenciales, lo que parecía extraño, pero una videollamada con él aclararía la situación.

En la llamada participaron varias personas con altos cargos en la organización, así que el trabajador de Hong Kong siguió adelante y realizó 15 pagos, por un total de 200 millones de dólares de Hong Kong (25.6 millones de dólares estadounidenses), a cinco cuentas bancarias locales.

Las cosas se complicaron cuando se comunicaron las transacciones a la oficina central. Resultó que el director financiero nunca había solicitado las transferencias. Los interlocutores ni siquiera eran reales. Todo había sido preparado por un ciberdelincuente.

“Creo que el estafador descargó los videos con antelación y luego utilizó la inteligencia artificial para añadir voces falsas y utilizarlas en la videoconferencia”, declaró más tarde el superintendente jefe de la policía, Baron Chan Shun-ching, a la Radio Televisión de Hong Kong.

Este no es el único ejemplo de piratas informáticos que utilizan inteligencia artificial. La policía de Hong Kong había encontrado al menos 20 casos en los que se había utilizado el aprendizaje automático para crear deepfakes y obtener dinero mediante el engaño, informó la cadena televisiva CNN. Los expertos afirman que la tendencia apenas está empezando.

“Está escalando. Las bandas criminales están instalando centros de llamadas en todo el mundo. Los dirigen como si fueran empresas. Y están creciendo”,  afirma el experto en seguridad de la información Todd Wade.

Según Luke Secrist, CEO de la empresa de hacking ético BuddoBot, “la sofisticación de los tipos de ataques y de los tipos de tecnología para ayudar a los ataques se está volviendo bastante espeluznante”.

Varios factores están impulsando la evolución de estas amenazas. Uno de ellos es que la IA puede utilizarse para desarrollar estafas que eluden las defensas tradicionales y van directas al eslabón más débil de cualquier estrategia de ciberseguridad: los seres humanos.

“La ingeniería social está tomando una parte cada vez mayor de este panorama”, dice Nick Biasini, jefe de divulgación de Cisco Talos. “Estamos empezando a ver cada vez más actores de amenazas que no son necesariamente técnicamente sofisticados, pero que son buenos manipulando a la gente”.

“Por eso tienen tanto éxito. Tienen mucho dinero. Y cuando tienes dinero, puedes añadir mucha sofisticación a tus trampas”.

Esta sofisticación es un segundo impulsor de las amenazas basadas en IA. En el último año, los avances en tecnología han progresado hasta un punto en el que cada vez es más difícil distinguir un deepfake del real.

Aunque solía ser fácil detectar una deepfake por patrones de habla extraños o manos extrañamente dibujadas, estas inconsistencias se están superando rápidamente. Y lo que es aún más preocupante, la IA ya puede crear deepfakes realistas a partir de sets de entrenamiento cada vez más pequeños.

“Hay muchos centros de llamadas que llaman sólo para grabar tu voz”, dice Secrist. “Las llamadas que recibes, sin respuesta: están intentando grabarte diciendo “Hola, ¿quién es?”. Sólo necesitan un fragmento”.

Según el experto en ciberseguridad Mark T. Hofmann, “treinta segundos de material en bruto –voz o video– bastan ahora para crear clones deepfake con una calidad que ni siquiera tu mujer, tu marido o tus hijos podrían distinguir de ti. Ya nadie está a salvo”.

En muchos casos, un ciberdelincuente ni siquiera necesita llamarte. Las redes sociales de la gente están llenas de material de audio y video. Además, “también se está produciendo una enorme cantidad de filtraciones de datos”, dice Wade.

Lo que la gente no sabe es que estas filtraciones de datos pueden incluir información personal, como la dirección, el número de teléfono, el correo electrónico, el número de la seguridad social, etc”. En los ataques de ingeniería social, pueden utilizar esta información para hacerse pasar por alguien con autoridad para realizar un trámite o transacción”.

Una vez que han iniciado un ataque de ingeniería social, los ciberdelincuentes juegan con las debilidades mentales para conseguir lo que quieren. Por ejemplo, pueden hacerte creer que han secuestrado a tu hijo o que tu trabajo está en peligro si no le haces un favor a tu jefe.

No hay mucho que las ciberdefensas estándar puedan hacer para evitarlo. Por eso, “cuando hablamos de ingeniería social y deepfakes, el firewall humano es más importante que nunca”, afirma Hofmann. “Tenemos que informar a la gente sobre los nuevos riesgos, sin asustarla”.

Una buena regla general para el mundo de los deepfakes es desconfiar de cualquier petición fuera de lo común, venga de quien venga. Hofmann dice que las familias podrían acordar una palabra clave para usar por teléfono en caso de duda.

En entornos corporativos, mientras tanto, “hacer preguntas de seguridad o devolver la llamada al número real es un buen consejo”, dice Hofmann. “Pueden robarte la voz, pero no los conocimientos”.

El experto de Cisco Talos, Biasini, está de acuerdo en que el conocimiento es la mejor forma de derrotar la amenaza deepfake, al menos hasta que la tecnología de autenticación encuentre una forma de distinguir las identidades reales de las falsas. “Cuando encontremos este tipo de actividad, nos aseguraremos de que salga a la luz”, afirma.

“Una de las cosas más importantes que se pueden hacer es llevar este conocimiento al gran público, porque no todo el mundo es consciente de este tipo de amenazas”.

-Jason Deign, Redactor de Cisco.

Lo Más Reciente

Cuatro consejos para retener el talento en su área de TI

Para tener un equipo de TI productivo y feliz...

Empresas: cómo enfrentar la caída del peso post electoral

Luego de las elecciones, el peso mexicano, que hasta...

Transformación digital en el Retail: el poder de la arquitectura

En México el comercio electrónico tiene un desempeño por...

IA Generativa y el futuro del trabajo

La inteligencia artificial generativa (IA gen) está acaparando titulares...

Newsletter

Recibe lo último en noticias e información exclusiva.

Cuatro consejos para retener el talento en su área de TI

Para tener un equipo de TI productivo y feliz en el trabajo, se necesita apostar por acciones que fomenten el orgullo por estar en...

Empresas: cómo enfrentar la caída del peso post electoral

Luego de las elecciones, el peso mexicano, que hasta hace un tiempo se mantenía fuerte, tuvo una fluctuación: primero perdió valor frente al dólar...

Transformación digital en el Retail: el poder de la arquitectura

En México el comercio electrónico tiene un desempeño por encima de la media de países de Latinoamérica. Según previsiones de Statista, en 2027 el...