Incidentes Asociados
El caso de un actor de amenazas que utilizó software de inteligencia artificial (IA) para hacerse pasar por el Secretario de Estado Marco Rubio en comunicaciones con diplomáticos nacionales y extranjeros, así como con políticos, demuestra la creciente sofisticación de la tecnología deepfake y la mayor amenaza que representa para la seguridad nacional, según expertos en seguridad.
El Washington Post informó ayer que un impostor envió mensajes de voz y texto que imitaban la voz y el estilo de escritura de Rubio mediante software impulsado por IA, citando a un alto funcionario estadounidense y un cable del Departamento de Estado obtenido por la publicación. El impostor utilizó mensajes de texto móviles estándar, así como la aplicación de mensajería cifrada Signal, en la campaña, que comenzó a mediados de junio, según el informe.
El impostor creó una cuenta de Signal con el nombre de usuario Marco.Rubio@state.gov (que no es una dirección de correo electrónico asociada al secretario de Estado) y la utilizó para contactar a ministros de Asuntos Exteriores, un gobernador de EE. UU. y un miembro del Congreso con el objetivo de obtener acceso a información y cuentas. Otros funcionarios no especificados del Departamento de Estado también fueron suplantados en la campaña, según el informe.
Al ser interrogada durante una rueda de prensa el 8 de julio, la portavoz del Departamento de Estado, Tammy Bruce, afirmó que el departamento está al tanto del incidente y que "actualmente está monitoreando y abordando el asunto", pero se negó a dar más detalles "por razones de seguridad". No está claro el origen del ataque, aunque se especula que hay adversarios rusos detrás, señaló un experto.
"El departamento se toma muy en serio su responsabilidad de proteger su información y toma medidas continuas para mejorar su postura de ciberseguridad y prevenir futuros incidentes", declaró Bruce durante la sesión informativa. "Vivimos en una era tecnológica en la que estamos inmersos, y lo dejaré ahí".
¿El gobierno de EE. UU. se encuentra en una crisis de ciberseguridad?
Este incidente es al menos el tercer intento de deepfake dirigido contra un funcionario del gobierno estadounidense. Anteriormente, un atacante logró acceder al senador Ben Cardin (demócrata por Maryland) haciéndose pasar por un funcionario ucraniano (https://www.darkreading.com/cyberattacks-data-breaches/elaborate-deepfake-operation-meeting-us-senator) y realizando llamadas automáticas deepfake (suplantando la identidad del expresidente Joe Biden) (https://www.darkreading.com/cyber-risk/mastermind-behind-biden-ai-deepfake-indicted-for-robocall-scheme) en una campaña política en su contra. Además, el FBI advirtió en mayo que actores maliciosos utilizaban mensajes de voz generados por IA suplantando la identidad de altos funcionarios estadounidenses para atacar a otros altos líderes gubernamentales y sus contactos.
Dada la creciente amenaza de las sofisticadas campañas de suplantación de identidad, la ciberseguridad debería ser una prioridad para el gobierno federal cuando ocurren incidentes de este calibre, afirmó un experto. Estos incidentes demuestran una grave brecha de seguridad que socava la confianza pública y pone de relieve los problemas que enfrenta el gobierno federal para proteger sus comunicaciones e infraestructura oficiales de amenazas externas, declaró Aditya Sood, vicepresidente de ingeniería de seguridad y estrategia de IA de Aryaka, en un comunicado enviado por correo electrónico. Relacionado: Un tifón de sal, respaldado por China, ataca a la Guardia Nacional de EE. UU. durante casi un año
"Estas estafas superan los métodos de detección tradicionales, aprovechando las deficiencias en la moderación de las plataformas y la supervisión regulatoria", declaró en un comunicado enviado por correo electrónico. "La proliferación de la IA no ha hecho más que agravar este problema, ya que los actores de amenazas avanzadas se aprovechan de organizaciones desprevenidas".
El gobierno federal bajo la administración Trump podría ser considerado una de estas organizaciones, ya que ya ha enfrentado críticas por un grave error de seguridad operativa en marzo, cuando el secretario de Defensa, Pete Hegseth, envió accidentalmente un mensaje de texto (https://www.darkreading.com/cybersecurity-operations/opsec-nightmare-leaking-us-military-plans-reporter) a un periodista, Jeffrey Goldberg, editor jefe de The Atlantic, a través de Signal, con planes precisos sobre los planes de Estados Unidos de bombardear objetivos hutíes en Yemen, apenas horas antes de que ocurrieran los ataques.
Avances en deepfakes requieren acción inmediata
El incidente también es otro recordatorio de la sofisticación de la tecnología deepfake, señaló Steve Cobb, director de seguridad de la información (CISO) de SecurityScorecard, quien prevé que se produzcan más incidentes contra funcionarios gubernamentales.
"Estas campañas suelen emplear un enfoque multifacético, comenzando con ataques de phishing enviados desde cuentas de correo electrónico aparentemente legítimas y escalando a mensajes de voz deepfake generados por IA", declaró en un comunicado enviado por correo electrónico. "Esta no es la primera vez que actores de amenazas se hacen pasar por funcionarios estatales, y probablemente no será la última".
La amenaza de estos incidentes y el éxito que los atacantes puedan tener al obtener información clasificada o confidencial deberían ser un llamado a la acción para que el gobierno implemente herramientas de detección basadas en IA (https://www.darkreading.com/cybersecurity-analytics/researchers-bypass-deepfake-detection-replay-attacks) para identificar contenido manipulado e intentos de suplantación de identidad, una medida que las plataformas de redes sociales ya han adoptado, afirmó Sood.
Como todas las organizaciones, el gobierno debería implementar un enfoque multifacético que combine la educación proactiva en alfabetización mediática para empoderar al público a evaluar el contenido de forma crítica; Soluciones técnicas robustas, como la detección en tiempo real, los estándares de procedencia del contenido y la autenticación criptográfica, para verificar la autenticidad de los medios; y marcos legales sólidos, junto con la rápida acción de la plataforma para la eliminación de deepfakes maliciosos.
"Este esfuerzo colectivo, que combina la concienciación pública con las defensas tecnológicas y la presión regulatoria, es esencial para preservar la veracidad y la confianza en nuestro panorama digital cada vez más sintético", afirmó Sood.
Cualquier persona que crea que puede ser víctima de estafas de deepfakes también debería, como regla general, dedicar tiempo adicional a verificar la autenticidad de alguien que se ponga en contacto con ella para interactuar o reunirse con ella, buscando algún tipo de autenticación secundaria, aconsejó Cobb.
"Esto podría incluir llamar a un número de teléfono conocido y de confianza, enviarle un mensaje a través de una cuenta verificada en redes sociales o contactar a alguien que tenga una afiliación personal con la persona que se intenta verificar", concluyó. Necesitamos evolucionar hacia una mentalidad de sano escepticismo en estas interacciones y adoptar un enfoque de «confiar pero verificar» como práctica habitual.