Incidentes Asociados
Las estafas con inteligencia artificial son un nuevo reto para las empresas
Los delincuentes utilizaron software basado en inteligencia artificial para hacerse pasar por la voz de un director ejecutivo y exigir una transferencia fraudulenta de 220 000 euros (243 000 dólares) en marzo, en lo que los expertos en ciberdelincuencia describieron como un caso inusual de uso de inteligencia artificial para piratear.
El director ejecutivo de una empresa de energía con sede en el Reino Unido pensó que estaba hablando por teléfono con su jefe, el director ejecutivo de la empresa matriz alemana de la empresa, quien le pidió que enviara los fondos a un proveedor húngaro. La persona que llamó dijo que la solicitud era urgente y ordenó al ejecutivo que pagara dentro de una hora, según la firma de seguros de la compañía, Euler Hermes Group SA.
Euler Hermes se negó a nombrar a las empresas víctimas.
Las autoridades encargadas de hacer cumplir la ley y los expertos en IA han predicho que los delincuentes utilizarían la IA para automatizar los ataques cibernéticos. Quienquiera que haya estado detrás de este incidente parece haber utilizado un software basado en inteligencia artificial para imitar con éxito la voz del ejecutivo alemán por teléfono. El CEO del Reino Unido reconoció el leve acento alemán de su jefe y la melodía de su voz en el teléfono, dijo Rüdiger Kirsch, experto en fraudes de Euler Hermes, una subsidiaria de la empresa de servicios financieros con sede en Munich Allianz SE.
Varios funcionarios dijeron que el ataque de suplantación de voz en Europa es el primer delito cibernético del que han oído hablar en el que los delincuentes recurrieron claramente a la IA. Euler Hermes, que cubrió el monto total del reclamo de la empresa víctima, no se ha ocupado de otros reclamos que buscan recuperar pérdidas por delitos que involucran IA, según Kirsch.
Las estafas que utilizan IA son un nuevo desafío para las empresas, dijo Kirsch. Las herramientas de ciberseguridad tradicionales diseñadas para mantener a los piratas informáticos alejados de las redes corporativas no pueden detectar voces falsificadas. Las empresas de ciberseguridad han desarrollado recientemente productos para detectar las llamadas grabaciones deepfake.
No está claro si este es el primer ataque que utiliza IA o si hay otros incidentes que no se han denunciado o en los que las autoridades no detectaron la tecnología en uso, dijo Philipp Amann, jefe de estrategia del Centro Europeo de Delitos Cibernéticos de Europol. Europol es la agencia de policía europea. Si bien es difícil predecir si pronto podría haber un aumento en los ataques cibernéticos que utilizan IA, el Sr. Amann dijo que es más probable que los piratas informáticos usen la tecnología si hace que los ataques sean más exitosos o rentables.
Los atacantes responsables de defraudar a la compañía energética británica llamaron tres veces, dijo Kirsch. Después de que se realizó la transferencia de los $ 243,000, los piratas informáticos llamaron para decir que la empresa matriz había transferido dinero para reembolsar a la empresa del Reino Unido. Luego hicieron una tercera llamada más tarde ese día, nuevamente haciéndose pasar por el CEO, y solicitaron un segundo pago. Debido a que la transferencia de reembolso de los fondos aún no había llegado y la tercera llamada era de un número de teléfono de Austria, el ejecutivo comenzó a sospechar. No hizo el segundo pago.
El dinero que se transfirió a la cuenta bancaria húngara se trasladó posteriormente a México y se distribuyó a otros lugares. Los investigadores no han identificado a ningún sospechoso, dijo Kirsch.
No está claro si los atacantes usaron bots para reaccionar a las preguntas de la víctima. Si lo hubieran hecho, podría haber sido aún más difícil para las autoridades policiales investigar, dijo Amann. Una investigación policial sobre el caso ha terminado, dijo Kirsch. Europol no participó.
El Sr. Kirsch cree que los piratas informáticos utilizaron un software comercial de generación de voz para llevar a cabo el ataque. Grabó su propia voz usando uno de esos productos y dijo que la versión reproducida sonaba real.
Algunas empresas de software ofrecen servicios que pueden suplantar voces rápidamente, dijo Bobby Filar, director de ciencia de datos de Endgame, una empresa de ciberseguridad. “No necesitas ser un Ph.D. en matemáticas para usarlo.” él dijo.
Otra táctica que podrían usar los piratas informáticos sería unir muestras de audio para imitar la voz de una persona, lo que probablemente requeriría muchas horas de grabación. Los investigadores de seguridad demostraron esta técnica en la conferencia Black Hat el año pasado.
Los atacantes podrían usar grabaciones de voz disponibles públicamente para hacerse pasar por celebridades o ejecutivos.
“No puedes andar y estar en silencio todo el tiempo. Te encontrarás con situaciones como esta en las que expones información que nunca pensaste que podría usarse en tu contra”, dijo el Sr. Filar.
La aplicación de tecnología de aprendizaje automático para falsificar voces facilita el delito cibernético, dijo Irakli Beridze, director del Centro de IA y Robótica del Instituto Interregional de Investigación de Justicia y Delincuencia de las Naciones Unidas.
El centro de la ONU está investigando tecnologías para detectar videos falsos, que según Beridze podrían ser una herramienta aún más útil para los piratas informáticos. En el caso de la empresa de energía del Reino Unido, un número de teléfono desconocido finalmente despertó sospechas. “Imagínese una videollamada con la voz [de un CEO], las expresiones faciales con las que está familiarizado. Entonces no tendrías ninguna duda en absoluto”, dijo.