Problema 4096

Incidentes Asociados

Incidente 63428 Reportes
Alleged Deepfake CFO Scam Reportedly Costs Multinational Engineering Firm Arup $25 Million

Los estafadores extraen 25 millones de dólares de la empresa de ingeniería Arup a través de una falsificación de inteligencia artificial del nombre de usuario «CFO»
cfodive.com · 2024

Resumen de la inmersión:

  • El grupo de ingeniería británico Arup perdió aproximadamente 25 millones de dólares después de que los estafadores usaran Según un informe del Financial Times, un empleado de Arup fue manipulado por IA para hacerse pasar falsamente por el director financiero del grupo y solicitar transferencias de un empleado a cuentas bancarias en Hong Kong.
  • Según la policía de Hong Kong, un miembro del personal recibió un mensaje que decía ser del director financiero de Arup, con sede en el Reino Unido, sobre una "transacción confidencial", dijo el Financial Times. Después de una videoconferencia con el falso director financiero y otros empleados generados por IA, el miembro del personal realizó una serie de transacciones a cinco cuentas bancarias diferentes de Hong Kong, antes de descubrir el fraude.
  • Si bien es posible que los directores financieros no tengan en cuenta este tipo de incidentes en este momento, eso cambiará a medida que se vuelvan más frecuentes. Como guardianes de las claves financieras de una empresa, y por lo tanto como objetivos potenciales de suplantación de identidad por parte de estafadores emprendedores, garantizar la conciencia es un primer paso fundamental, dijo a CFO Dive Matthew Miller, director de servicios de ciberseguridad en la firma Big Four KPMG US. El personal debe ser consciente de las amenazas, como la posible suplantación de la identidad de los ejecutivos, y de cómo este tipo de fraude podría afectar a los procesos empresariales críticos, afirmó.

Dive Insight:

El incidente de Arup se produce en un momento en que aumentan las preocupaciones sobre los denominados deepfakes (imágenes, audio o vídeo creados de forma falsa o manipulados de otro modo con IA) tanto entre los líderes empresariales como entre los reguladores. La noticia de la estafa se informó por primera vez en febrero, cuando la policía de Hong Kong identificó que una importante empresa había sido el objetivo de un engaño deepfake sin mencionar a Arup por su nombre. Personas familiarizadas con el asunto informaron al Financial Times este mes que Arup había sido el objetivo, según un informe del jueves.

Arup notificó a la policía de Hong Kong en enero que se había producido un incidente de fraude y confirmó al Financial Times que se habían utilizado voces e imágenes falsas, pero se negó a dar más detalles sobre la estafa, ya que el incidente todavía se está investigando. Arup no respondió de inmediato a las solicitudes de comentarios del director financiero Dive.

En total, las transacciones enviadas por el miembro del personal (que descubrió el fraude después de hacer un seguimiento con la sede de la empresa) a los perpetradores de la estafa totalizaron 200 millones de dólares de Hong Kong, o aproximadamente 25 millones de dólares estadounidenses.

Las falsificaciones profundas respaldadas por IA podrían usarse potencialmente para una serie de casos de uso malintencionados, como permitir a los estafadores eludir los requisitos de autenticación para obtener acceso a las cuentas de clientes legítimos o hacerse pasar por personas de una empresa con el poder de autorizar transferencias de dinero, dijo Miller.

Si bien este tipo de fraude no es nuevo, la aparición de la IA generativa y otras herramientas que los impulsan permite a los estafadores escalar estas estafas de manera masiva; efectivamente, "cambia la economía del fraude", dijo. "Y una vez que los estafadores comienzan a ganar dinero, alimentan sus componentes de fraude con esa financiación para poder ganar más dinero, por lo que eso me preocupa de manera bastante significativa".

Es importante que los directores financieros tomen conciencia y comiencen a analizar más de cerca los controles de fraude que tienen implementados. Los jefes financieros deberían revisar "algunos de sus procesos de negocio en los que podrían ser susceptibles a ataques de redes sociales de tipo deepfake", y asegurarse de que "cuentan con los controles y la supervisión adecuados para, con suerte, prevenir esos riesgos", dijo Miller.

El incidente de Arup está lejos de ser el primer evento en el que se utilizaron deepfakes para hacerse pasar por un individuo con acceso o influencia críticos; la semana pasada, la Comisión de Valores y Futuros de Hong Kong advirtió que imágenes deepfake de la cabeza de Tesla Elon Musk estaban siendo utilizadas por una empresa de criptomonedas llamada Quantum AI, por ejemplo.

La SFC "sospecha que Quantum AI utiliza vídeos y fotos deepfake generados por IA del Sr. Elon Musk en su sitio web y a través de las redes sociales para engañar al público de que el Sr. Musk es el desarrollador de la tecnología subyacente de Quantum AI", dijeron en un comunicado de prensa reciente.

También hay mucho miedo en torno a los posibles impactos socioeconómicos de este tipo de tecnología, dijo Miller. Los legisladores de numerosos países ya han pedido restricciones al uso de la IA a medida que aumentan las preocupaciones sobre cómo podría utilizarse [para fines maliciosos durante las elecciones] (https://www.cnn.com/2024/05/15/politics/us-intelligence-china-iran-deepfakes-2020-election/index.html).

Durante su discurso sobre el Estado de la Unión en marzo, el presidente Joseph Biden destacó la amenaza de las falsificaciones profundas manipuladas por IA, alentando al Congreso a abordar el "peligro" potencial que representa la tecnología emergente, informó anteriormente el director financiero Dive. Más tarde esa semana, los legisladores de la Unión Europea aprobaron la "Ley de IA de la UE", legislación que estableció requisitos para el uso de IA y detalló sanciones potencialmente duras por incumplimiento.

Leer la Fuente