Por Sadiq Iqbal, evangelista y asesor de ciberseguridad, Check Point Software Technologies, Australia/Nueva Zelanda

Los deepfakes han irrumpido en la conciencia de consumidores y comerciantes debido a su creciente sofisticación. 

La capacidad de imitar a un ser humano con una calidad superior es ahora mucho más posible que antes. Esto se debe a que el acceso a las herramientas de IA utilizadas para crear deepfakes es mejor y esto, junto con las barreras de entrada de bajo coste, significa que las falsificaciones convincentes pueden desplegarse a escala.

Nuestra investigación ha descubierto que en 30 segundos o menos de que me hables sobre cualquier tema, yo o cualquier otro profano con las herramientas de IA pertinentes podría hacer un deepfake de tu voz para cualquier tema que quisiera, durante el tiempo que quisiera y prácticamente sin coste alguno. Esto cambia las reglas del juego, y lo mismo ocurre ahora con el vídeo.

Según un informe de Sumsub Research realizado el año pasado, los incidentes globales de deepfake se han multiplicado por diez de 2022 a 2023, siendo Norteamérica la región con el mayor crecimiento de ataques de deepfake, un 1740 por ciento.

Para las empresas, una preocupación clave es si un ejecutivo puede ser falsificado de forma convincente, o si un empleado "privilegiado" puede ser engañado por esa falsificación. A principios de este año, un diligente trabajador financiero de Hong Kong fue engañado para que aprobara un pago de 25 millones de dólares mediante una elaborada videoconferencia con un deepfake del director financiero de la empresa.

Solicitó una reunión con Zoom en respuesta a una petición de transferencia de dinero y sólo envió el dinero después de hablar con quien creía que era el director financiero y varios compañeros más en la misma llamada, todos ellos deepfakes. El caso puso de manifiesto la evolución de la tecnología y su potencial como nuevo vector de amenaza para las estafas empresariales.

Las importantes repercusiones empresariales asociadas al uso malintencionado de deepfakes hacen que las personas y las empresas se pregunten qué pueden hacer para protegerse y proteger sus operaciones. ¿Cómo pueden averiguar si la persona al otro lado de una videoconferencia es real y no una creación de IA?

A un alto nivel, requiere que la gente esté alerta y realice algunas comprobaciones de sentido común. En todas las situaciones, la gente tiende a sopesar lo que ve y a hacer ciertas evaluaciones y juicios de riesgo. De la misma manera que actualmente se comprueba la veracidad de un correo electrónico o su contenido (verificando la identidad del remitente, pasando el ratón por encima de una URL o un archivo adjunto, examinando el estilo y la gramática), hoy en día puede resultar beneficioso aplicar el mismo tipo de enfoque a las videoconferencias.

Esta triangulación de indicios y factores de riesgo es una especie de "autentificación multifactorial" que ahora debemos realizar de forma más consciente en los entornos laborales.

Trucos y consejos

¿Cuáles son algunas de las comprobaciones que los empleados pueden realizar hoy en día para detectar un deepfake, o alertarse de un intento de estafa más sofisticado que haga uso de la tecnología deepfake?

La primera es realizar una comprobación rápida de la "vitalidad": pedir a la persona que está al otro lado del vídeo que gire la cabeza de un lado a otro. Esto es eficaz hoy en día porque las herramientas de IA generativa utilizadas para producir deepfakes no crean un parecido tridimensional o de 360 grados de la persona, sólo pueden producir imágenes planas de frente.

Las vistas laterales de la cabeza y la cara no se mostrarán correctamente. Así que, si los empleados sospechan, deben pedir a la persona que gire a la izquierda o a la derecha y, si la cara desaparece, colgar.

Del mismo modo, otros comportamientos humanos naturales que suelen observarse en una videoconferencia (alguien que se levanta y se rasca o se toca la cabeza, por ejemplo) tampoco se mostrarán correctamente con un deepfake.

Esto es efectivo hoy, pero puede no serlo mañana. El rápido ritmo de desarrollo de la IA generativa significa que las herramientas mejorarán en la creación de semejanzas más realistas de las personas y sus gestos, lo que podría hacer que la comprobación de la vitalidad fuera más difícil con el tiempo.

Los empleados pueden captar indicios adicionales de que una videoconferencia con un ejecutivo no es lo que parece.

Una comprobación útil cuando se recibe un enlace de videoconferencia, o cuando se entra en una llamada múltiple, es verificar si los participantes están utilizando una versión con licencia corporativa de ese software. Esto suele ser obvio porque las empresas utilizan una "URL de vanidad" (http://nombredelaempresa.videoplatform.com) para mostrar desde dónde están llamando. La confianza puede establecerse aún más comunicando con antelación (mediante un método diferente, como el chat o el correo electrónico) cómo os uniréis tú y los demás a la videoconferencia.

Si sabes de antemano que recibirás una invitación a una videoconferencia desde un determinado dominio de la empresa, es otro "factor" que se puede tener en cuenta a la hora de determinar si aceptas o no la reunión. Si la reunión se inicia desde una cuenta personal, o alguien se une inesperadamente y sin explicación desde una cuenta personal, puede ser una señal de alarma - y justificar, al menos, una pregunta o dos o algunas comprobaciones adicionales.

Una tercera estrategia útil consiste en acordar palabras clave internas que deban comprobarse fuera de banda antes de realizar determinadas acciones, como una transferencia de dinero. En el caso del trabajador de Hong Kong, esto habría significado enviar un mensaje al director financiero con el que pensaban que estaban hablando a través de un canal completamente diferente y preguntarle: "¿Cuál es la palabra?". La respuesta que recibieran les indicaría rápidamente si el "director financiero" (y la petición que estaba haciendo) eran auténticos o no.

Los empleados deben seguir siendo cautelosos y preocuparse, emplear todos los consejos a su disposición y mantenerse al día con la evolución de la tecnología de IA, para hacer frente a la amenaza de encontrarse con un deepfake.

Sus esfuerzos pueden ser apoyados hábilmente por las organizaciones que implementan soluciones de ciberseguridad, incluyendo sólidas protecciones de correo electrónico, que pueden detectar y evitar que muchas invitaciones de reuniones maliciosas lleguen a las bandejas de entrada en primer lugar. Dada la realidad de la amenaza, es importante contar con una protección completa.