La Privacidad como modo de vida: Spoofing e IA un riesgo creciente en el ámbito empresarial y familiar

 

“Si uno es diferente, se ve condenado a la soledad. Los demás le tratan brutalmente.”

“No deseamos cambios. Todo cambio constituye una amenaza para la estabilidad.”

—  Aldous Huxley, en «Un mundo feliz»

El avance de la tecnología, en particular la inteligencia artificial (IA), está provocando múltiples beneficios, pero también ha abierto nuevas vías para estafas más sofisticadas y peligrosas. Una compañía de Hong Kong ha vivido un terrible suceso que dió la vuelta al mundo hace unos meses.

Uno de sus empleados fue víctima de una estafa mediante videollamada en la que se utilizaban deepfakes y con la que los hackers consiguieron hacerse con 25 millones de euros.

El spoofing, combinado con técnicas de IA, es una amenaza real, con consecuencias devastadoras.

• https://www.telecinco.es/noticias/sociedad/20240107/angustioso-testimonio-victima-spoofing-que-consiste-estafa-perdida-ahorros_18_011374248.html

• https://www.lasexta.com/noticias/ciencia-tecnologia/asi-sms-spoofing-asi-podemos-evitar-caer-estafa_2021072760ffe5616d34c00001d3ecc5.html

• https://www.elmundo.es/economia/ahorro-y-consumo/2024/01/04/65958935e9cf4a35738b45a7.html

• https://www.computing.es/noticias/los-tiempos-del-ciberengano-hola-llamo-de-su-banco/

¿Qué es el spoofing?

El spoofing es una técnica utilizada por ciberdelincuentes para suplantar la identidad de una persona o entidad de confianza con el fin de engañar a las víctimas y, principalmente conseguir dinero mediante engaño. Este tipo de ataques puede adoptar diversas formas, como la falsificación de correos electrónicos, números de teléfono o incluso direcciones IP.

La integración de IA está llevando estas tácticas a un nivel completamente nuevo, incluyendo videollamadas falsas, llamadas de teléfono, incluso videollamadas grupales.

IA y Spoofing: El Rol de la Inteligencia Artificial en la Evolución del Fraude

Las capacidades de inteligencia artificial han evolucionado rápidamente, permitiendo a los atacantes crear imitaciones extremadamente realistas de voces, textos e incluso rostros. Herramientas como los deepfakes y los clones de voz han hecho posible simular la identidad de una persona de manera precisa, lo que ha incrementado el éxito de las estafas basadas en spoofing.

Ejemplo:

«Peláez, Necesito que hagas una transferencia a un proveedor para un anticipo»

«Jefe, Necesito que me lo pase por escrito»

«Déjate de tonterías y hazlo inmediatamente».

Lo que acabo de describir ya ha pasado

Ámbito Familiar: El Spoofing como Amenaza Directa

En el entorno familiar, el spoofing ha comenzado a ser utilizado para llevar a cabo estafas de emergencia. Estas estafas suelen presentarse de la siguiente forma:

• Clonación de voz con IA: Los estafadores pueden utilizar grabaciones públicas de la voz de una persona (obtenidas de redes sociales, videos o mensajes) para crear un clon de voz mediante IA. Luego, llaman a familiares y simulan situaciones de emergencia, como accidentes o secuestros, exigiendo pagos rápidos para «resolver» la situación.

• Suplantación de mensajes familiares: Utilizando IA, los atacantes pueden enviar mensajes falsos a través de WhatsApp o redes sociales, haciéndose pasar por un familiar en apuros, lo que crea una sensación de urgencia para transferir dinero o compartir datos personales.

Ejemplo: Se han documentado casos en los que ciberdelincuentes utilizan software de clonación de voz para hacer pasar por un hijo o nieto y solicitar fondos de emergencia a familiares desprevenidos.

Ámbito Empresarial: Spoofing y Estafas de Alta Tecnología

En el ámbito corporativo, el spoofing combinado con IA ha dado lugar a fraudes complejos que pueden resultar en pérdidas millonarias.

Fraudes del CEO (Business Email Compromise, BEC): Esta estafa consiste en suplantar la identidad de un alto ejecutivo, como el CEO o CFO de una empresa, para solicitar transferencias bancarias urgentes a proveedores falsos. La IA permite ahora que los estafadores no solo falsifiquen correos electrónicos, sino que también realicen llamadas telefónicas con voces que simulan ser del ejecutivo en cuestión.

Manipulación de video y audio en negociaciones: Mediante el uso de deepfakes, los atacantes pueden manipular videoconferencias y audios para suplantar la identidad de empleados o socios comerciales, facilitando transferencias no autorizadas de fondos o la obtención de información confidencial.

Ejemplo: En un caso reciente, un directivo de una empresa fue engañado por un clon de voz generado por IA que imitaba al CEO de la compañía, lo que resultó en una transferencia fraudulenta de cientos de miles de dólares.

Riesgos y Consecuencias

• Pérdida financiera: Tanto en el ámbito familiar como en el empresarial, los resultados del spoofing asistido por IA suelen ser transferencias no autorizadas de dinero, lo que puede causar pérdidas económicas significativas.

• Daño a la reputación: En el contexto empresarial, el daño reputacional por sufrir un ataque de este tipo puede ser devastador. La pérdida de confianza entre los socios comerciales o clientes puede tener efectos duraderos en el negocio.

• Riesgos psicológicos: Para las familias, el impacto emocional de ser víctima de una estafa de suplantación de identidad puede ser profundo, ya que suele involucrar la explotación de vínculos familiares y el miedo a situaciones de emergencia.

Cómo Protegerse Contra el Spoofing y la IA

• Educación y Concienciación: El primer paso es que tanto los empleados como los miembros de la familia estén al tanto de la existencia de estas estafas. Las formaciones de ciberseguridad deben incluir ejemplos de spoofing con IA y cómo detectarlos. Pero sobre todo es importante que haya «palabras clave» entre familiares para imponer que haya un dato que ningún atacante puede obtener.

• Verificación Doble: Siempre que se reciba una solicitud financiera o de información sensible, es fundamental realizar una verificación por otro canal. Si recibes una llamada solicitando dinero, intenta llamar de vuelta al número que tienes registrado, o envía un mensaje por una vía diferente para confirmar la autenticidad. Ese canal tiene que ser un canal seguro que impida ser identificado o bloqueado por el mismo atacante.

• Autenticación multifactor: Tanto en las cuentas personales como empresariales, el uso de autenticación de múltiples factores (MFA) puede proteger de accesos no autorizados y reducir el riesgo de que los estafadores obtengan control sobre cuentas de correo electrónico o dispositivos.

• Herramientas de detección de IA: Existen programas y servicios que ayudan a identificar deepfakes y manipulación de voz o video. Para las empresas, invertir en estas herramientas puede marcar la diferencia para detectar intentos de fraude.

• Cifrado y políticas de acceso restringido: En el entorno empresarial, es crucial que las comunicaciones confidenciales estén cifradas, se utilicen herramientas seguras y que garanticen la privacidad. Usar Threema, Simplex o Session puede mitigar los riesgos de fraude por mensajes, ya que esos canales son privados, seguros y minoritarios. También que solo los empleados autorizados tengan acceso a la información financiera crítica.

Los problemas del spoofing, con IA vana ir a peor, a mucho peor. Como país, no nos podemos permitir que nuestras empresas pierdan cientos, miles o millones de euros cada día.

El panorama del fraude en línea, está aumentando la sofisticación y el impacto de las estafas tanto en el ámbito familiar como empresarial. La proliferación de herramientas avanzadas de clonación de voz y video, es crucial que las empresas y las personas tomen medidas proactivas para protegerse. Desde la educación hasta la implementación de nuevas tecnologías de seguridad, es posible mitigar estos riesgos y evitar convertirse en la próxima víctima de una estafa alimentada por IA.

Lo peor no es ser víctima de una estafa de este tipo, es la cara que se te queda. Invertir en seguridad es invertir en futuro, y siempre es lo más barato. En un mundo cada vez más digital, los delincuentes son digitales.