Deepfakes: qué son, cómo se usan y qué puedes hacer para protegerte
¿Alguna vez has escuchado el término deepfake? Aunque no sea exactamente una novedad, los delincuentes cibernéticos están usando esta tecnología cada vez más. De acuerdo a una encuesta mundial efectuada por VMware en 2022, el número de ataques con deepfakes ha aumentado un 13% en comparación con el año anterior. El vector más común de entrega, como ya lo podemos imaginar, es el e-mail, por medio de campañas de phishing altamente dirigidas.
Pero, en definitiva, ¿sabes qué es deepfake? Básicamente, es una tecnología que usa algoritmos de inteligencia artificial y aprendizaje de máquina para la creación de montajes de vídeo e imágenes sumamente realistas que muestran a personas haciendo cosas que nunca han hecho en la vida real. Todo lo que necesitas es un algoritmo pronto para esa finalidad y algunas “muestras” de lo que se pretende falsificar: un mensaje de voz, una foto o un vídeo. Listo: el sistema de aprendizaje de máquina aplica el rostro o la voz elegidos a clips ya existentes.
Sus varios usos en el ciberdelito
Al comienzo, los deepfakes se empleaban en situaciones bastante específicas, generalmente con el objetivo de diseminar información falsa para manipulación de la opinión pública en la política.
Sin embargo, como lo ha constatado la encuesta de VMware, el deepfake se está popularizando de forma más amplia entre los ciberdelincuentes, que han pasado a utilizar la técnica para elaborar campañas de phishing altamente dirigidas y realistas. Imagina, por ejemplo, que recibes un mensaje de audio con el tono de voz y cadencia de habla idénticos a los de tu superior, solicitándote una transferencia bancaria urgente. O que entras a una reunión falsa en la que aparece precisamente la imagen de tu jefe (que ha sido simulada). Es una forma mucho más convincente de engañar a un colaborador que un simple e-mail falso, ¿verdad?
Lo creas o no, ya se han registrado varios incidentes en los cuales el uso de deepfakes para fines maliciosos fue exitoso. El CEO de una empresa de energía británica transfirió nada menos que USD 243 mil tras recibir un mensaje de audio en el que se simulaba con perfección la voz de un compañero de trabajo que también era del alto escalafón. Obviamente, la cuenta corriente para la cual se solicitó la transferencia era del malversador y no del compañero en cuestión.
Yendo más allá del phishing, los deepfakes también se pueden usar para chantajear a ejecutivos. Un malhechor es capaz de manipular un video embarazoso usando el rostro de su blanco y extorsionarlo amenazándolo con divulgar el clip.
Una estafa difícil de identificar
Desgraciadamente, el deepfake puede asumir diferentes formatos y su detección aun es una tarea bastante desafiadora. A fin de cuentas, muchos colaboradores ni siquiera saben que ese tipo de tecnología existe: de acuerdo con Kaspersky, por ejemplo, más del 65% de los brasileños no saben qué es deepfake.
“Los ciberdelincuentes, ahora, están incorporando deepfakes en sus métodos de ataque para evitar controles de seguridad. Los ciberdelincuentes han aprendido a ir más allá del simple uso de video y audio sintéticos y han empezado a realizar operaciones de influencia o a crear campañas de desinformación. El nuevo objetivo es usar la tecnología deepfake para comprometer organizaciones y obtener acceso a ellas”, explica Rick McElroy, principal estratega de seguridad cibernética de VMware.
Afortunadamente, especialistas han descubierto una forma simple de detectar un deepfake en videollamadas: basta con pedirle al interlocutor que se ponga de costado. La mayoría de los algoritmos aun no logran simular rostros en esa posición. En cuanto a las simulaciones de voz, el consejo sigue siendo el mismo que se usa para lidiar con las campañas de phishing tradicionales: siempre que recibas una solicitud sospechosa, verifica (si es posible, personalmente) si la demanda es legítima antes de realizar cualquier acción.
Artículo originalmente escrito en portugués por el Equipo de Contenido de Perallis Security: Deepfakes: o que são, como são usados e dicas para se proteger — Perallis Security