Incidentes Asociados
El gigante de la gestión de contraseñas LastPass evitó por poco una posible brecha de seguridad después de que un empleado de la compañía fuera víctima de una estafa deepfake. El incidente, detallado en una entrada del blog de LastPass, involucró a un deepfake de audio que suplantaba al director ejecutivo Karim Toubba e intentaba contactar al empleado por WhatsApp.
La tecnología deepfake, que puede manipular audio y video para crear falsificaciones realistas, es cada vez más utilizada por ciberdelincuentes en elaboradas estrategias de ingeniería social. En este caso, el estafador utilizó un programa de alteración de voz para suplantar la voz de Toubba, probablemente con el objetivo de generar una sensación de urgencia o confianza en el empleado.
Sin embargo, no todos tienen la misma suerte que LastPass. En febrero de 2024, un empleado de la sucursal de una multinacional en Hong Kong fue engañado para pagar 200 millones de dólares de Hong Kong (aproximadamente 25,6 millones de dólares estadounidenses) después de que estafadores utilizaran un director financiero generado por IA con tecnología deepfake.
En otro incidente, reportado en agosto de 2022, los estafadores utilizaron un holograma deepfake generado por IA del director de comunicaciones de Binance, Patrick Hillmann, para engañar a los usuarios y obligarlos a participar en reuniones en línea y atacar los proyectos de criptomonedas de los clientes de Binance. En cuanto a LastPass, la empresa elogió la vigilancia del empleado al reconocer las señales de alerta. El uso inusual de WhatsApp, una plataforma poco común para la comunicación oficial dentro de la empresa, sumado al intento de suplantación de identidad, animó al empleado a reportar el incidente al equipo de seguridad de LastPass. La empresa confirmó que el ataque no afectó su seguridad general. Toby Lewis, director global de análisis de amenazas de Darktrace, comentó sobre el problema y destacó los riesgos de la IA generativa: "La prevalencia de la IA hoy en día representa riesgos nuevos y adicionales. Sin embargo, podría decirse que el riesgo más considerable es el uso de la IA generativa para producir audio, imágenes y videos deepfake, que pueden publicarse a gran escala para manipular e influir en la opinión pública".
Si bien el uso de la IA para la generación de deepfakes es muy real ahora, el riesgo de manipulación de imágenes y medios no es nuevo, ya que "photoshop" existe como verbo desde la década de 1990", explicó Toby. *"El reto ahora es que la IA pueda utilizarse para reducir la barrera de entrada de personal cualificado y acelerar la producción a una mayor calidad. La defensa contra las deepfakes de IA se basa principalmente en mantener una visión cínica del material que se ve, especialmente en línea o difundido a través de redes sociales", aconsejó.
Sin embargo, este intento de estafa demuestra la sofisticación de los ataques de los ciberdelincuentes. Por otro lado, LastPass enfatizó la importancia de la formación de los empleados para mitigar estos ataques. Las tácticas de ingeniería social a menudo se basan en crear una sensación de urgencia o pánico, presionando a las víctimas para que tomen decisiones precipitadas.
El incidente también pone de relieve los peligros potenciales que representan las deepfakes en el ámbito corporativo. A medida que la tecnología continúa desarrollándose, creando falsificaciones cada vez más convincentes, las empresas deberán invertir en protocolos de seguridad robustos y en la formación de sus empleados para mantenerse a la vanguardia de estas sofisticadas estafas.
Si bien las estafas deepfake dirigidas a empresas aún son relativamente poco comunes, el incidente de LastPass pone de relieve la creciente amenaza. La decisión de la compañía de hacer público el intento sirve como una valiosa advertencia para otras organizaciones, instándolas a concienciar e implementar medidas preventivas.