Incidentes Asociados
Muchas veces al día, en todo el mundo, un jefe le pide a un miembro de su equipo que realice una tarea durante una videollamada. Pero, ¿es la persona que asigna las tareas quien dice ser? ¿O se trata de un deepfake? En lugar de seguir órdenes ciegamente, los empleados ahora deben preguntarse si están siendo víctimas de un fraude.
A principios de este año, un empleado del sector financiero se encontró hablando por videoconferencia con alguien que se parecía y hablaba exactamente igual que su director financiero. Tras finalizar la reunión, siguió diligentemente las instrucciones de su jefe y envió 200 millones de dólares de Hong Kong, equivalentes a 25 millones de dólares.
Pero no era su jefe, sino una representación en video de IA llamada deepfake. Ese mismo día, el empleado se dio cuenta de su terrible error tras consultar con las oficinas corporativas de su multinacional. Había sido víctima de un esquema de deepfake que defraudó a la organización por 25 millones de dólares.
Las empresas suelen ser blanco de deepfakes.
El término deepfake se refiere al contenido creado por IA (video, imagen, audio o texto) que contiene información falsa o alterada, como Taylor Swift promocionando utensilios de cocina y el infame falso Tom Cruise. Incluso los recientes huracanes que azotaron EE. UU. dieron lugar a múltiples imágenes deepfake, incluyendo fotos falsas de Disney World inundado (https://www.clickorlando.com/theme-parks/2024/10/10/no-hurricane-milton-did-not-flood-disney-world-in-florida-heres-the-truth-about-these-viral-images/) y desgarradoras imágenes generadas por IA de personas con sus mascotas en las aguas de las inundaciones (https://www.accuweather.com/en/hurricane/helene-hoaxes-the-first-but-not-last-major-storm-with-ai-photos/1699902).
Mientras que los deepfakes, también conocidos como contenido multimedia sintético, dirigidos a particulares suelen servir para manipularlos, los ciberdelincuentes que atacan a las empresas buscan obtener beneficios económicos. Según la hoja informativa de CISA Contextualizando las amenazas de deepfake para las organizaciones, las amenazas dirigidas a las empresas suelen clasificarse en una de tres categorías: suplantación de identidad ejecutiva para manipular la marca, suplantación de identidad para obtener beneficios económicos o suplantación de identidad para obtener acceso.
Pero el reciente incidente en Hong Kong no se debió solo al error de un empleado. Los esquemas de deepfake son cada vez más comunes en las empresas. Una encuesta reciente de Medus [https://www.medius.com/blog/what-is-deepfake-fraud-in-accounts-payable-and-how-can-you-prevent-it/] reveló que la mayoría (53 %) de los profesionales financieros han sido blanco de intentos de esquemas de deepfake. Aún más preocupante es el hecho de que más del 43% admitió haber sido víctima del ataque.
¿Se denuncian menos de lo que se denuncian los ataques deepfake?
La palabra clave del estudio de Medus es "admiten". Y plantea una gran pregunta: ¿Acaso las personas no denuncian haber sido víctimas de un ataque deepfake porque les da vergüenza? La respuesta es probablemente. Después del hecho, a los demás les parece obvio que era una falsificación. Y es difícil admitir que se cayó en una imagen generada por IA. Pero la falta de denuncia solo aumenta la vergüenza y facilita que los ciberdelincuentes se salgan con la suya.
La mayoría de la gente asume que puede detectar un deepfake. Pero ese no es el caso. El Centro para Humanos y Máquinas y CREED descubrió una gran brecha entre la confianza de las personas para identificar un deepfake y su desempeño real. Dado que muchas personas sobreestiman su capacidad para identificar un deepfake, aumenta la vergüenza cuando alguien es víctima, lo que probablemente lleva a que no se denuncien los casos.
¿Por qué la gente cae en las trampas de los deepfakes?
El empleado que fue engañado por el deepfake del director financiero por un valor de 25 millones de dólares admitió posteriormente que, cuando recibió el correo electrónico supuestamente de su director financiero, la mención de una transacción secreta le hizo preguntarse si el correo electrónico era en realidad un correo de phishing. Pero una vez que apareció en el video, reconocieron a otros miembros de su departamento y decidieron que era auténtico. Sin embargo, el empleado se enteró posteriormente de que las imágenes de los miembros de su departamento también eran deepfakes.
Muchas víctimas pasan por alto sus preocupaciones, preguntas y dudas. Pero ¿qué lleva a las personas, incluso a quienes conocen los deepfakes, a dejar de lado sus preocupaciones y a creer que una imagen es real? Esa es la pregunta del millón de dólares (o de 25 millones de dólares) que debemos responder para prevenir estafas de deepfakes costosas y perjudiciales en el futuro.
Sage Journals se preguntó quién era más propenso a caer en deepfakes y no encontró ningún patrón en cuanto a edad o género. Sin embargo, las personas mayores pueden ser más vulnerables a la estafa y tener dificultades para detectarla. Además, los investigadores descubrieron que, si bien la concientización es un buen punto de partida, parece tener una eficacia limitada para evitar que las personas caigan en deepfakes.
Sin embargo, el neurocientífico computacional Tijl Grootswagers, de la Universidad de Western Sydney, probablemente dio en el clavo con respecto al desafío de detectar un deepfake: es una habilidad completamente nueva para cada uno de nosotros. Hemos aprendido a ser escépticos ante las noticias y los sesgos, pero cuestionar la autenticidad de una imagen que podemos ver va en contra de nuestros procesos de pensamiento. Grootswagers declaró a la revista Science: "En nuestras vidas, nunca tenemos que pensar en quién es real o falso. No es una tarea para la que hayamos sido entrenados".
Curiosamente, Grootswagers descubrió que nuestros cerebros son mejores en la detección sin nuestra intervención. Descubrió que cuando las personas veían la imagen de un deepfake, esta generaba una señal eléctrica en la corteza visual cerebral distinta a la de una imagen o un vídeo auténticos. Al preguntarle por qué, no estaba del todo seguro: quizá la señal nunca llegó a nuestra consciencia debido a la interferencia de otras regiones cerebrales, o quizá los humanos no reconocemos las señales de que una imagen es falsa porque se trata de una tarea nueva.
Esto significa que cada uno de nosotros debe empezar a entrenar a su cerebro para que considere que cualquier imagen o vídeo que veamos podría ser un deepfake. Al plantearnos esta pregunta cada vez que actuamos sobre el contenido, podremos empezar a detectar las señales cerebrales que detectan las falsificaciones antes que nosotros. Y lo más importante, si somos víctimas de un deepfake, especialmente en el trabajo, es fundamental que cada uno de nosotros denuncie todos los casos. Solo así los expertos y las autoridades podrán empezar a frenar su creación y proliferación.