Incidentes Asociados
Durante los últimos años, la comunidad de inteligencia de amenazas cibernéticas ha estado preocupada por la mayor proliferación de la tecnología "deepfake" y su posible uso por parte de estafadores contra empresas o individuos. Los "deepfakes" utilizan inteligencia artificial generativa para aprovechar muestras de audio o visuales existentes para crear una grabación nueva y única de un individuo objetivo diciendo o haciendo lo que el creador haya programado que la herramienta deepfake fabrique. Los deepfakes a menudo se asocian con campañas de desinformación y desinformación política, pero la combinación de la mayor calidad de los deepfakes y la mayor disponibilidad de la tecnología utilizada para crearlos (ahora hay numerosos sitios y aplicaciones disponibles abiertamente que permiten a casi cualquier persona crear fácilmente un deepfake) también ha sido durante mucho tiempo una preocupación del sector privado. De hecho, ya en 2019, una empresa con sede en el Reino Unido supuestamente fue víctima de una falsificación de audio en la que convencieron a un empleado de transferir dinero a un estafador que utilizó un software de inteligencia artificial generadora de voz para hacerse pasar por el director ejecutivo de la empresa. Más recientemente, un empleado de finanzas de una multinacional con sede en Hong Kong fue engañado para que transfiriera 25 millones de dólares a unos estafadores después de que estos organizaran una videollamada en la que todos los demás participantes, incluido alguien que se hacía pasar por el director financiero de la empresa, eran un video deepfake.
Captura de pantalla que muestra el intento de contacto de WhatsApp usando audio deepfake como parte de una suplantación de la identidad del CEO
Aunque, por suerte, los informes de este tipo de llamadas deepfake dirigidas a empresas privadas aún son poco frecuentes, LastPass experimentó un intento de deepfake hoy mismo, que compartimos con la comunidad para concienciar sobre la propagación de esta táctica y para que todas las empresas estén alerta. En nuestro caso, un empleado recibió una serie de llamadas, mensajes de texto y al menos un mensaje de voz con un audio deepfake de un actor de amenazas que se hacía pasar por nuestro director ejecutivo a través de WhatsApp. Como el intento de comunicación se produjo fuera de los canales habituales de comunicación empresarial y debido a la sospecha del empleado sobre la presencia de muchas de las características de un intento de ingeniería social (como la urgencia forzada), nuestro empleado ignoró los mensajes e informó del incidente a nuestro equipo de seguridad interna para que pudiéramos tomar medidas para mitigar la amenaza y concienciar sobre la táctica, tanto interna como externamente.
Para ser claros, no hubo ningún impacto en nuestra empresa. Sin embargo, queríamos compartir este incidente para concienciar de que los deepfakes no son, cada vez más, competencia exclusiva de actores de amenazas sofisticados de estados nacionales, sino que se utilizan cada vez más para campañas de fraude de suplantación de ejecutivos. Recalcar la importancia de verificar contactos potencialmente sospechosos por parte de personas que dicen pertenecer a su empresa a través de canales de comunicación internos establecidos y aprobados es una lección importante que podemos extraer de este intento. Además de esta publicación del blog, ya estamos trabajando en estrecha colaboración con nuestros socios de intercambio de inteligencia y otras empresas de ciberseguridad para concientizarlos sobre esta táctica y ayudar a las organizaciones a mantenerse un paso adelante de los estafadores.