Deepfakes como nuevo vector de fraude emergente

¿Cómo protegernos cuando la amenaza no es lo que parece? Los deepfakes amenazan el sentido de seguridad y quebrantan la más elemental confianza.

 

Hay que reconocer (a regañadientes y sin gusto) que los hackers delincuentes del mundo gozan de una creatividad digna de mejores usos. 

También disfrutan de una aguda y diabólica inteligencia que le permiten apelar, ya no a la debilidad de los sistemas que, sin duda, siempre encuentran sino a los puntos débiles de las personas: esos que nos hacen humanos.

Perciben a las empresas con sistemas en los que cada persona es una puerta de entrada… cerrada, que hay que encontrar la manera de abrir. De ahí la efectividad de la Ingeieria Social que coloca el foco en las personas y no en los programas. 

Pero, por supuesto, no se quedan allí. Los llamados deepfakes son una muestra reciente de su talento para que el normal comportamiento humano sea usado en contra de la seguridad de la empresas.

Los deepfakes se han convertido en un vector emergente utilizado por los ciberdelincuentes para obtener acceso a: 

• Los sistemas corporativos
• Datos 
• O recursos financieros 

Deepfakes o Ultrafalsos, IA  al servicio del mal

¿Por qué son tan peligrosos? Su poder emana del aprendizaje profundo, la tecnología que permitió su desarrollo. 

El deepfake utiliza la Inteligencia Artificial para crear archivos de vídeo o audio muy convincentes que imitan a un tercero. 

Con el aprendizaje profundo, los algoritmos aprenden a través de vastos grupos de datos sin necesidad de supervisión humana, por lo que, cuanto mayor sea el conjunto, más preciso será el algoritmo. 

De los riesgos asociados a los deepfakes, el impacto en el fraude es uno de los más preocupantes para las empresas en la actualidad.

De hecho, existen herramientas de deepfake que se ofrecen como servicio en la deep web, lo que facilita y abarata a los delincuentes la puesta en marcha de este tipo de esquemas de fraude, sin importar que tengan conocimientos técnicos limitados.

Es por ello que Netskope, empresa especializada en Secure Access Service Edge (SASE), ofrece una serie de pautas y consejos para que las empresas conozcan sus riesgos y cómo defenderse.

Amenazas más frecuentes

Los especialistas de Netskope destacan que los tres principales tipos de fraude a los que deben estar atentos los responsables de seguridad de las empresas son: 

• El fantasma, un delincuente utiliza los datos de una persona fallecida para crear un deepfake
• El de identidad, a través del cual los estafadores extraen datos de muchas personas diferentes para crear una identidad ficticia
• Y el financiero, cuando se utilizan identidades robadas o falsas para abrir nuevas cuentas bancarias 

Estos tres tipos de fraude buscan utilizar estos datos para: 

• Acceder a servicios en línea
• Solicitar y utilizar tarjetas de crédito 
• Pedir préstamos 
• O realizar grandes transacciones, entre otras operaciones 

Por supuesto, todas estas prácticas, por supuesto, pueden dañar la reputación de una empresa y/o sus empleados con los clientes y otras partes interesadas.

“En los próximos años, la tecnología seguirá evolucionando y será más difícil identificar los deepfakes. De hecho, a medida que las personas y las empresas adoptan el Metaverso y la Web 3.0, es probable que los avatares se utilicen para acceder y consumir una amplia gama de servicios”, advirtió David Fairman, Director de Información y Director de Seguridad APAC de Netskope.

En defensa propia

Los especialistas de Netskope estima que existen cinco pasos clave que todas las empresas deberían aplicar actualmente para proteger sus datos, sus finanzas y su reputación frente a la creciente sofisticación y prevalencia del fraude:

1.- Planificar los procedimientos de respuesta y los simulacros

Los deepfakes deben incorporarse a la planificación de escenarios y a las pruebas de crisis. Los planes deben incluir la clasificación de los incidentes y esbozar procesos claros de notificación de estos sucesos, así como procedimientos de escalada y notificación, especialmente cuando se trata de mitigar el riesgo para la reputación.

2.- Educar a los empleados

Al igual que los departamentos de seguridad educan a los empleados para que detecten los correos electrónicos de phishing, también deberían concienciarles sobre los deepfakes. Como ocurre en otras áreas de la ciberseguridad, los empleados deben ser considerados como una importante línea de defensa, especialmente dado el uso de deepfakes para la ingeniería social. 

3.- Adoptar procedimientos de verificación secundarios para las transacciones sensibles 

Es importante no confiar y verificar siempre. Asimismo, se recomienda disponer de métodos secundarios de verificación o devolución de llamadas, como marcas de agua en archivos de audio y vídeo, autenticación paso a paso o doble control.

4.- Contratar un seguro de protección

A medida que crezca la amenaza del deepfake, las aseguradoras ofrecerán sin duda una gama más amplia de opciones.

5.- Actualizar las evaluaciones de riesgo

Incorporar los deepfakes al proceso de evaluación de riesgos de los canales y servicios digitales.