Incidentes Asociados
- Un poco más de la mitad (53%) de las empresas en los EE. UU. y el Reino Unido han sido víctimas de una estafa financiera impulsada por la tecnología "deepfake", y el 43% ha sido víctima de este tipo de ataques, según una encuesta realizada por el proveedor de software financiero Medius.
- De los 1.533 profesionales financieros de EE. UU. y el Reino Unido encuestados por Medius, el 85% consideraba que estas estafas eran una amenaza "existencial" para la seguridad financiera de su organización, según un informe sobre los resultados publicado el mes pasado. Los deepfakes son imágenes, vídeos o grabaciones de audio manipulados por inteligencia artificial que son falsos pero convincentes.
- "Cada vez más delincuentes ven las estafas deepfake como una forma eficaz de obtener dinero de las empresas", dijo Ahmed Fessi, director de transformación e información de Medius, en una entrevista. Estas estafas “combinan técnicas de phishing con ingeniería social, además del poder de la IA”.
La IA generativa podría permitir que las pérdidas por fraude alcancen los 40.000 millones de dólares en Estados Unidos en 2027, según afirmó la firma de contabilidad Deloitte, una de las cuatro grandes, en un informe de mayo.
“Ya existe toda una industria casera en la red oscura que vende software fraudulento por entre 20 y miles de dólares”, afirma el informe. “Esta democratización del software nefasto está haciendo que varias de las herramientas antifraude actuales sean menos eficaces”.
En mayo, el grupo de ingeniería británico Arup estuvo en el punto de mira tras los informes de que estafadores lograron desviar 25 millones de dólares de la empresa utilizando tecnología deepfake para hacerse pasar por el director financiero de la organización. Tras una videoconferencia con el falso director financiero y otros empleados generados mediante inteligencia artificial, un miembro del personal de Arup realizó una serie de transacciones en cinco cuentas bancarias diferentes de Hong Kong antes de descubrir el fraude.
En otro ejemplo, el Guardian informó en mayo que el grupo publicitario WPP había sido el objetivo de una estafa deepfake fallida.
El contenido en línea, como un video de YouTube o un podcast con un director ejecutivo o un director financiero, puede proporcionar a los delincuentes material para un deepfake convincente que luego se puede usar en una estafa de suplantación de identidad para engañar a alguien, como un miembro del equipo de finanzas, para que entregue los fondos de la empresa, dijo Fessi. Como parte de la estafa, el estafador puede intentar crear una falsa sensación de urgencia para presionar al empleado desprevenido para que actúe rápidamente.
En otro tipo de estafa deepfake, el atacante puede intentar hacerse pasar por un proveedor que trabaja con la empresa, dijo.
A la luz de las crecientes amenazas que plantean los deepfakes, Fessi instó a las empresas a tomar medidas defensivas basadas en tres pilares principales:
Educación. "Todos en la organización deben tener un conocimiento básico de qué es un deepfake, cómo detectar uno y qué pasos tomar si son el objetivo", dijo, y agregó que las empresas también deberían considerar complementar esto con capacitación especializada para ejecutivos y gerentes superiores, así como empleados en departamentos de alto riesgo.
Proceso. Según Fessi, las empresas deben contar con controles y contrapesos para minimizar el riesgo de que los empleados realicen pagos inadvertidamente a estafadores, como requerir que al menos dos personas firmen una transferencia bancaria. Las organizaciones también deben prepararse para cómo responderán en caso de un ataque deepfake exitoso. “Es importante tener estos procesos documentados y compartidos con la fuerza laboral, especialmente el personal de finanzas”, dijo.
Tecnología. Herramientas como la IA y el aprendizaje automático, cuando se combinan con un proceso de validación de varios niveles y segregación de funciones, pueden ayudar a las empresas a detectar transacciones anómalas, dijo Fessi.