Audio Deep Fake. Suplantan voz de CEO para realizar estafa

Es el primer caso conocido de estafa financiera exitosa a través de audio DeepFake, los ciberdelincuentes pudieron crear una suplantación casi perfecta de la voz de un director ejecutivo, y luego usaron el audio para engañar a su empresa para transferir U$S 243.000 a su cuenta bancaria.

Una DeepFake es una suplantación plausible de video o audio de alguien, impulsada por inteligencia artificial (IA). Los expertos en seguridad dicen que el incidente, reportado por primera vez por el Wall Street Journal , sienta un precedente peligroso.

"En la industria de verificación de identidad, estamos viendo más y más fraude de identidad basado en inteligencia artificial que nunca antes", dijo a Threatpost David Thomas, CEO de la compañía de verificación de identidad Evident. Como empresa, ya no es suficiente confiar en que alguien es quien dice ser. Las personas y las empresas recién ahora comienzan a comprender la importancia de la verificación de identidad. Especialmente en la nueva era de las falsificaciones profundas, ya no es suficiente confiar en una llamada telefónica o un archivo de video.

El informe del WSJ, que se publicó durante el fin de semana, se atribuyó a la compañía de seguros de la compañía víctima, Euler Hermes Group SA, que declinó nombrar a la compañía afectada pero describió el incidente en detalle.

El incidente comenzó en marzo, cuando el CEO de una compañía de energía pensó que estaba hablando por teléfono con su jefe, el director ejecutivo de la empresa matriz alemana de la firma. La persona que llamó por teléfono le pidió al CEO que enviara los fondos, por un total de € 220.000 (U$S 243.000), a un proveedor húngaro en una solicitud "urgente", con la promesa de que se reembolsaría.

La víctima, engañada al pensar que la voz era la de su jefe, particularmente porque tenía un ligero acento alemán y un patrón de voz similar, hizo la transferencia. Sin embargo, una vez que se realizó la transacción, los estafadores volvieron a llamar y solicitaron otra transferencia urgente de dinero. En ese momento, el CEO comenzó a sospechar y se negó a hacer el pago.

Según los informes, los fondos fueron de Hungría a México antes de ser transferidos a otros lugares. Euler Hermes Group SA pudo reembolsar a la empresa afectada, según el informe.

El incidente apunta a cómo el fraude de voz, impulsado por inteligencia artificial, es una amenaza creciente de ciberseguridad para empresas y consumidores por igual. Un informe de Pindrop de 2018 descubrió que el fraude de voz había aumentado un 350 por ciento entre 2013 y 2017, con una de cada 638 llamadas creadas sintéticamente.

Si bien la industria de la ciberseguridad ha promocionado la inteligencia artificial como una forma para que los desarrolladores automaticen funciones y para que las empresas detecten anomolias , este incidente también muestra cómo la tecnología podría usarse fácilmente de manera maliciosa.

De hecho, después de crear una réplica de la popular voz del podcaster Joe Rogan (que genera un discurso realista usando solo entradas de texto), Dessa, una compañía que ofrece herramientas de nivel empresarial para la ingeniería de aprendizaje automático, advirtió que cualquiera podría utilizar la inteligencia artificial para hacerse pasar por personas. Eso significa que las personas que llaman spam podrían hacerse pasar por los familiares de las víctimas para obtener información personal; los delincuentes podrían ingresar a las zonas de alta seguridad mediante la suplantación de un funcionario del gobierno; o deepfake de los políticos podrían usarse para manipular los resultados electorales, dijo Dessa en una publicación de mayo.

"En este momento, se requieren experiencia técnica, ingenio, potencia informática y datos para que modelos como [estos] funcionen bien. Así que no cualquiera puede salir y hacerlo. Pero en los próximos años (o incluso antes), veremos que la tecnología avanza hasta el punto en que solo se necesitan unos segundos de audio para crear una réplica realista de la voz de cualquier persona en el planeta. Es bastante aterrador".

Los expertos en seguridad han advertido que la IA también es una bendición para los ciberdelincuentes que pueden usar la herramienta para automatizar el phishing, usar aplicaciones de IA de autenticación de voz para ataques de suplantación de identidad o para rastrear paquetes escalables. Afortunadamente, existen técnicas de verificación que podrían ayudar a señalar tales intentos de fraude, dijo Thomas de evidencia.

"Las empresas deben estar atentas y emplear técnicas de verificación adecuadas, como identificación de múltiples factores, reconocimiento facial y pruebas integrales de identidad, para frustrar las amenazas actuales de IA".

Fuente: Seguridad y Firewall

Suscríbete a nuestro Boletín