Por Henry Matta
Gerente Senior de Riesgos de Integridad de EY Perú
¿Se imaginan recibir una llamada del CEO de su organización dando la instrucción para transferir fondos a una cuenta bancaria externa, y luego descubrir que quien lo llamó no era el CEO?
Este nuevo tipo de fraude se basa en la técnica conocida como deepfake, por la combinación de los conceptos “deep learning” (aprendizaje profundo) y “fake” (falso). Esta técnica hace uso de tecnologías disruptivas como la inteligencia artificial para extraer datos contenidos en un conjunto de imágenes o audios relacionados a una persona. Luego, se aplican técnicas de aprendizaje como Machine Learning para superponer de forma convincente esos datos extraídos sobre otra persona. Finalmente, el objetivo es lograr una personificación que puede llegar a igualar no solo la apariencia y la voz, sino también los gestos y vocalización.
A pesar de lo futurista que suena, es posible que ya hayamos interactuado con esta tecnología en nuestras redes sociales. De acuerdo con la firma de seguridad americana Sensity, al mes de julio de 2019 el 95% del uso del deepfake estaba destinado al entretenimiento. Sin embargo, en los últimos meses la tecnología de los deepfakes ha sido también utilizada por cibercriminales con objetivos políticos y/o para generar pérdidas económicas en organizaciones. Este último escenario podría además poner en riesgo la reputación de las empresas, a través del deterioro de la relación con clientes, proveedores e inversionistas.
En agosto de 2019, el Wall Street Journal publicó un artículo en el cual se describe cómo una empresa (cuyo nombre no fue revelado) domiciliada en Reino Unido fue víctima de un ciberataque que utilizó deepfake para suplantar la voz del CEO corporativo y hacerse de US$ 243,000. De acuerdo con el ejecutivo británico, la voz del CEO habría emulado también su acento alemán y habría solicitado realizar una transferencia urgente a la cuenta bancaria de un proveedor húngaro.
En adición, de acuerdo con el laboratorio de ideas Carnegie Endowment for International Peace, solamente se requiere un mínimo de 3 segundos de audio de una persona para iniciar un proceso básico de suplantación a través de deepfake. Lo cual resulta muy relevante hoy en día, en particular considerando la gran cantidad de contenido (audio y video) que solemos publicar en nuestras redes sociales, volviéndonos así potenciales candidatos a suplantación.
El deepfake es un ejemplo de cómo los ciberataques se vuelven cada vez más sofisticados, aplicando inclusive tecnologías disruptivas a los tradicionales esquemas de phishing e ingeniería social. Este tipo de fraude aprovecha las características de la modalidad actual de trabajo remoto y tiene el potencial de propagarse rápidamente. A futuro, el deepfake podría generar un importante problema de confianza en las organizaciones y en el público en general, por lo que resulta clave poder trabajar pronto en soluciones que permitan a las organizaciones mitigar el potencial impacto al que podrían estar expuestas.