Incidentes Asociados
Un grupo de estafadores se hizo con 35 millones de dólares tras usar correos electrónicos falsificados y audio deepfake para convencer a un empleado de una empresa de los Emiratos Árabes Unidos de que un director solicitó el dinero como parte de la adquisición de otra organización, según una solicitud presentada la semana pasada ante un tribunal federal estadounidense.
El ataque se dirigió a un gerente de sucursal con correos electrónicos que parecían provenir del director y de un abogado estadounidense, a quien los correos electrónicos designaban como coordinador de la adquisición. Este ataque es el más reciente en utilizar audio sintético creado mediante algoritmos de aprendizaje automático, conocidos como redes neuronales, para imitar la voz de una persona conocida del empleado objetivo.
Por esa razón, es probable que el audio deepfake y las voces sintetizadas se conviertan en parte de las técnicas de los ciberdelincuentes en el futuro. Existe una variedad de herramientas de código abierto que permiten a cualquiera crear deepfakes, tanto de vídeo como de audio, afirma Etay Maor, director sénior de estrategia de seguridad de la empresa de seguridad de redes Cato Networks.
"Si hay dinero de por medio, se puede estar seguro de que los atacantes adoptarán nuevas técnicas", afirma Maor. Usar estas herramientas no es muy sofisticado. Cuando se trata de una voz, es aún más fácil.
El robo corporativo es el segundo ataque conocido que utiliza tecnología deepfake. En 2019, un gerente de una filial británica de una empresa alemana recibió una llamada de quien parecía ser su director ejecutivo en Alemania, a quien ya conocía. A petición del falso director ejecutivo, transfirió 220.000 € a un supuesto proveedor. El gerente no sospechó hasta que la misma persona, haciéndose pasar por el director ejecutivo, volvió a llamar dos días después, pidiendo otros 100.000 €. Entonces se dio cuenta de que el número de teléfono provenía de Austria, no de Alemania.
El éxito de estos ataques se basa en la confianza, afirma Maor. Una llamada de un conocido pidiendo dinero es diferente a un correo electrónico que dice ser un príncipe nigeriano. Un empleado que habla con una persona que cree que es su director ejecutivo tendrá más probabilidades de transferir dinero.
La solución para la mayoría de las empresas tendrá que volver a "nunca confiar, siempre verificar", afirma.
"Tendremos que adoptar algunos de los principios de confianza cero en este mundo de relaciones", añade. "No tiene por qué ser una solución tecnológica. Un proceso de verificación podría ser suficiente".
El expediente del Departamento de Justicia de EE. UU. ofrece pocos detalles sobre la investigación de los Emiratos Árabes Unidos. Supuestamente, se había designado a un abogado con sede en EE. UU. para supervisar la adquisición, y la investigación emiratí rastreó dos transferencias por un total de 415.000 dólares depositadas en cuentas del Centennial Bank en Estados Unidos.
En enero de 2020, se transfirieron fondos de la empresa víctima a varias cuentas bancarias en otros países en un complejo esquema que involucraba al menos a 17 acusados, conocidos y desconocidos, según la solicitud presentada ante el Tribunal de Distrito de Estados Unidos para el Distrito de Columbia (https://www.documentcloud.org/documents/21085009-hackers-use-deep-voice-tech-in-400k-theft). Las autoridades emiratíes rastrearon el movimiento del dinero a través de numerosas cuentas e identificaron dos transacciones con destino a Estados Unidos.
La solicitud solicitaba a los tribunales que designaran a un abogado del Departamento de Justicia como punto de contacto en Estados Unidos para la investigación.
Si bien la tecnología para crear audio y video falsos realistas de personas mediante redes neuronales generativas antagónicas (GAN) ha alimentado el temor a que los deepfakes causen estragos en las campañas políticas y a que los malhechores aleguen que la tecnología de redes neuronales profundas creó evidencia real, hasta ahora la mayoría de los ejemplos han sido pruebas de concepto, fuera del mercado negro de pornografía falsa con famosos y pornografía de venganza.
Sin embargo, los requisitos técnicos ya no son un obstáculo para quienes desean crear deepfakes (https://www.theverge.com/22672123/ai-voice-clone-synthesis-deepfake-applications-vergecast). Maor estima que se necesitan menos de cinco minutos de audio muestreado para crear una voz sintetizada convincente, pero otras estimaciones sitúan el audio sin procesar necesario en dos o tres horas de muestras (https://www.scip.ch/en/?labs.20210318). Una síntesis de menor calidad requiere mucho menos tiempo. Para muchos ejecutivos, los atacantes pueden extraer el audio necesario de internet.
Las empresas no necesitan tecnología especial para evitar las vulnerabilidades de los procesos de negocio impulsadas por deepfakes. En cambio, necesitan añadir pasos de verificación a sus procesos contables, afirma Maor.
"Si se implementan los procesos adecuados, se pueden eliminar estos problemas", afirma. "En definitiva, una simple llamada telefónica para verificar la solicitud podría haberlo evitado".