Deepfakes: cuando su objetivo son las empresas y sus barreras de seguridad
El término deepfake ha pasado de ser un conocido para algunos a estar de actualidad y en boca de todos en muy poco tiempo debido al éxito de un anuncio que ha utilizado esta técnica
Este concepto, que parte de la unión de las palabras inglesas ‘deep’ (profundidad) y ‘fake’ (falso), da nombre a una técnica que consiste en la recreación de imágenes de video de personas anónimas o conocidas, autoridades o políticos a partir de contenido multimedia antigüo suyo, pero modificando su audio y el movimiento de la boca. De esta manera, se pueden difundir discursos o declaraciones con apariencia real pero con un mensaje total o parcialmente adulterado.
Esta tecnología, más allá de poder utilizarse con fines comerciales, también es utilizada con fines maliciosos. La utilización de esta técnica puede provocar numerosos daños en una empresa: desinformación, implicación en delitos, falsificación de pruebas, suplantación de identidad, daño a la imagen, noticias falsas, difamaciones, estafas económicas, etc. y también en el usuario, ya que la falsificación de identidad puede tener consecuencias muy graves.
Por eso, se trata de una tecnología que preocupa especialmente a los responsables de TI. Concretamente, el 74% de ellos cree que los deepfakes son una amenaza para la seguridad de su organización, pero la realidad es que muchas empresas aún no están equipadas para combatir los crecientes riesgos que conlleva. Por ello, desde Entelgy, The BusinessTech Consultancy, quieren advertir a las organizaciones y usuarios sobre los problemas y dificultades que puede ocasionar los ciberataques a través de esta tecnología.
- Suplantación de identidad y estafas: los ciberdelincuentes pueden utilizar las deepfakes para atacar a las organizaciones y estafarlas a través de la suplantación de la voz de personas con cierta autoridad dentro las mismas, como el CEO u otros cargos dentro de la compañía. Además, pueden crear vídeos con la imagen de cualquiera de esos perfiles para ponerse en contacto con los empleados directamente y solicitarles, a través del teléfono o videollamadas, que realicen transferencias bancarias, que faciliten ciertos datos o que lleven a cabo ciertas operaciones comprometidas. Es el caso de una empresa de Reino Unido que en 2019 sufrió el ataque de unos ciberdelincuentes que utilizaron un software basado en IA para replicar la voz del CEO de la compañía exigiendo la transferencia fraudulenta de 243.000 dólares al jefe de la filial inglesa.
- Daños de la reputación corporativa interna y externa: otro de los ataques que pueden llevar a cabo los ciberdelincuentes a través de las deepfakes es la difamación de una empresa con el objetivo de dañar su reputación corporativa externa e interna. En estos casos, los atacantes crean deepfakes en los que los ejecutivos hablan de su propia organización y anuncian, por ejemplo, la insolvencia de la compañía. Estas acciones llegan a incluir amenazas de enviar material comprometido a los medios de comunicación o publicarlo en redes sociales. Internamente, esto puede generar desconfianza entre los trabajadores provocando una gran incertidumbre y llevarles a tener que cuestionarse la veracidad de todo.
- Incapacidad de algunos de los sistemas de ciberseguridad existentes: en lo que se refiere a los deepfakes, a medida que las falsificaciones se vuelven más sofisticadas y difíciles de detectar, éstas pueden ser capaces de superar cualquier barrera de seguridad existente, por lo que las empresas pueden verse obligadas a revisar sus protocolos para garantizar sus procesos contra el fraude digital. Además, se incrementa la necesidad de proteger los datos personales de la plantilla para evitar falsificaciones profundas que pongan en riesgo la seguridad. Las deepfakes pueden imitar datos biométricos y potencialmente pueden engañar a los sistemas que dependen del reconocimiento de rostro o voz.
- Ausencia de regulación: hoy en día no existe ninguna ley que regule las deepfakes. Las autoridades sólo pueden catalogar el tipo de delito en el que se esté incurriendo a través de esta tecnología, como por ejemplo el de estafa, suplantación de identidad, injurias, calumnias o integridad moral. Y como se trata de una tecnología que va a ser cada vez más utilizada por los criminales valdría la pena que las autoridades tuviesen más en cuenta una futura regulación. Según datos de la consultora Gartner en 2023, el 20% de los ataques para intentar robar y hacerse con cuentas utilizarán deepfakes como parte de estos intentos de acciones maliciosas.
“Las deepfakes son una muestra más de que la ciberseguridad y la protección de tus datos en un entorno como Internet son cada vez más necesarias. Nunca sabemos por dónde puede llegar el peligro.”, afirma Enrique Domínguez, Director de Estrategia de Entelgy Innotec Security. “Por eso, debemos tener cuidado con el contenido que recibimos y sospechar ante cualquier actitud extraña u orden contradictoria que recibamos y sin que podamos confirmar la identidad del emisor.”
cybersecuritynews - Aina Pou Rodríguez