Deepfakes: la amenaza creciente para organizaciones
Kaspersky identifica los tres tipos de deepfakes más utilizados para atacar a empresas mediante extorsión, chantaje y espionaje industrial
El número de deepfakes o videos falsos crece a un ritmo anual del 900%, según el Foro Económico Mundial. Y es que el uso de redes neuronales (método de Inteligencia Artificial) y del aprendizaje profundo o Deep Learning (de ahí el término deepfake) permite prácticamente a cualquiera usar imágenes, videos y audio para crear contenidos multimedia realistas, en los que se altera digitalmente el rostro o cuerpo de una persona para que parezca otra.
Con estos contenidos, el objetivo de la ciberdelincuencia es acosar, vengarse, realizar estafas, entre otros delitos, convirtiéndose en casos que frecuentemente ocupan titulares en los medios de comunicación. Recientemente, los analistas de Kaspersky descubrieron que los cibercriminales ofrecen sus servicios maliciosos en la Darknet para crear estos videos falsos y, ahora, recopilan los tres principales tipos de fraude basados en deepfakes.
Fraude financiero
Los ciberdelincuentes pueden utilizar deepfakes para hacerse pasar por celebridades, políticos y empresarios para que las víctimas caigan fácilmente en el engaño. Un ejemplo de ello es un video creado artificialmente el año pasado con Elon Musk como protagonista. En éste, el fundador de Tesla prometía grandes ganancias si se seguían una serie de consejos para invertir en criptomonedas. El contenido se volvió viral y muchos usuarios perdieron su dinero. Para crear deepfakes como este, los estafadores utilizan imágenes de personas de interés o combinan videos antiguos y publican videos o transmisiones en vivo en redes sociales, prometiendo algún beneficio, como duplicar cualquier pago en criptomoneda.
Deepfakes pornográficos
Con la foto de una persona, individuos malintencionados pueden crear una pieza en la que su víctima aparezca en una situación comprometedora. De hecho, el FBI acaba de emitir una advertencia sobre la manipulación de fotos y videos publicados en la red para la creación de contenido explícito y esquemas de extorsión. En varias ocasiones se han detectado videos de este tipo utilizando rostros conocidos, pero las víctimas también pueden ser personas anónimas, sufriendo graves consecuencias. Quienes son involucrados en este ataque ven dañada su reputación y vulnerados sus derechos. Uno de los últimos ejemplos ha sido el de la cantante Rosalía, quien fue víctima de una foto falsificada donde aparecía, supuestamente, haciendo topless.
Estafas empresariales
Los deepfakes también pueden utilizarse para atacar a empresas mediante extorsión, chantaje o espionaje industrial. En una ocasión, los ciberdelincuentes engañaron al gerente de un banco de Emiratos Árabes Unidos con este método, robando $35 millones de dólares. A partir de una pequeña grabación de voz, crearon una locución con la que lograron estafar al responsable de la entidad. En otro caso, los criminales trataron de burlar a la mayor plataforma de criptomonedas del mundo, Binance. Generaron un deepfake de uno de sus directivos y lo utilizaron en una reunión en línea para hablar en su nombre.
Además, los responsables de recursos humanos ya están en alerta ante el uso de deepfakes por parte de candidatos que solicitan trabajo a distancia, según otra advertencia del FBI. En el caso de Binance, los atacantes utilizaron imágenes de personas que encontraron en Internet para crear videos falsos y añadirlos a los currículums. Si consiguen engañar a los responsables de recursos humanos y más tarde reciben una oferta, pueden robar datos de la empresa.
“Uno de los grandes peligros de los deepfake para las empresas no es solo el robo de datos. Los riesgos reputacionales pueden tener consecuencias muy graves. Basta con la publicación de un video en donde, aparentemente, un ejecutivo hace declaraciones sesgadas de temas delicados. Esto puede provocar, por ejemplo, la caída de la compañía en la bolsa de valores. Sin embargo, la posibilidad de que se produzcan estos ataques aún es baja por el alto coste de crear un deepfake realista”, explica Dmitry Anikin, experto senior de seguridad en Kaspersky. “Es importante estar al tanto de los detalles que pueden indicar que un video es falso y mantener siempre una actitud escéptica. También hay que asegurarse de que los empleados entiendan qué es un deepfake y cómo pueden reconocerlo”, añade.
Para protegerse de este tipo de engaño, Kaspersky recomienda:
- Revisar las prácticas de seguridad en la empresa, tanto en temas de software como de capacitación del personal. Además de utilizar herramientas como Kaspersky Threat Intelligence para estar al tanto de las últimas amenazas.
- Crear un “muro humano” informando al empleado sobre lo que es un deepfake y los riesgos que implica. Kaspersky Automated Security Awareness Platform mantiene a la plantilla informada sobre las últimas amenazas al tiempo que aumenta la alfabetización digital.
- Usar fuentes de información fiables. La desinformación es clave para la proliferación de los deepfakes.
- Ser escéptico frente a videos o grabaciones de voz es importante para ayudar a reducir las probabilidades de caer en la estafa.
- Tener en cuenta las características que puedan indicar que un video es falso: movimientos bruscos, cambios en la iluminación y en el tono de la piel, parpadeo extraño o falta de este, labios mal sincronizados respecto a la voz o baja calidad de la reproducción.
El monitoreo constante de la darknet proporciona a Kaspersky información valiosa sobre la industria del deepfake. Esta actividad, junto con el análisis, permite conocer las últimas tendencias y actividades de los ciberdelincuentes, así como mejorar la visión del cambiante panorama de amenazas. Kaspersky’s Digital Footprint utiliza ese monitoreo, aportando información y soluciones de valor cuando se trata de amenazas relacionadas con los deepfakes.
Para aprender más sobre la industria del deepfake, visita Kaspersky Daily.