Hoy en día, el auge de las deepfakes es un motivo de preocupación pública, sobre todo por los riesgos de que cualquiera pueda crear un video falso haciéndose pasar por otra persona para sembrar el caos y la división en la sociedad. Esta amenaza está lejos de ser la única vinculada a esta tecnología.
Los deepfakes de audio están utilizándose activamente en diversos ataques informáticos de Inteligencia Artificial (IA) contra empresas, con el objetivo de acceder a las redes corporativas y manipular a los empleados para que transfieran grandes sumas de dinero a la cuenta de los delincuentes. Pero, ¿qué tan eficiente es este método?
Esta herramienta maliciosa fue creada para optimizar uno de los ataques más comunes contra las empresas: el compromiso de correo electrónico corporativo (BEC, por sus siglas en inglés). Por lo general, este tipo de ataques se realiza a través del phishing, y busca acceder a la red informática de la compañía para espiar los sistemas de pago.
Cuando los hackers han logrado identificar a los trabajadores autorizados para realizar transferencias bancarias o liberar pagos, se hacen pasar por un alto ejecutivo y convencen a los empleados de que envíen el dinero a una entidad que luce como un negocio regular de la empresa.
Un ataque altamente exigente
Un informe de Axios asegura que, hasta el momento, los delincuentes han logrado falsificar un número importante de correos electrónicos para realizar estos ataques de BEC. La posibilidad de aplicar el “audio deepfake” les ha dado una nueva herramienta para optimizar la actividad maliciosa.
La capacidad que esta estafa les brinda a los hackers para llamar por teléfono directamente a los empleados y hacerse pasar por un ejecutivo importante, no solo incrementa la autenticidad de la llamada y la petición de dinero, sino que la presión sobre el empleado aumenta la efectividad del ataque.
El deepfake de audio es una de las formas más avanzadas de ataques basados en IA, ya que el algoritmo aprende casi perfectamente a imitar la voz del ejecutivo. Para lograrlo, el algoritmo usa redes de confrontación generativa (GAN) que se enfrentan entre sí: mientras una parte crea un personaje falso, otra lo identifica y lo confronta. A partir de este proceso, se da el aprendizaje necesario para generar la voz falsa que requiere el delincuente.
La firma de seguridad informática, Symantec, afirma que se han producido tres ataques importantes y exitosos a través de estos audios. En todos ellos, el CEO llamó por teléfono a un responsable financiero de la empresa para solicitar una transferencia de dinero. El algoritmo utilizado para estos ataques fue entrenado con videos de entrevistas de los ejecutivos, conferencias de TED y otros videos subidos a YouTube.
Según Symantec, no existe hasta ahora una alternativa confiable para detectar efectivamente este tipo de ataques. De hecho, para cuando se busque desacreditar uno de los audios basado en IA, ya el robo podría haberse producido.