Jake Moore, especialista en ciberseguridad de ESET, ha explicado que no sería descabellado el hecho de esperarse que en el futuro cercano se observe un gran incremento de ciberdelitos (especialmente estafas) en los que se utilice el Aprendizaje Automático (Machine Learning, ML).
De hecho, Moore le ha dicho a un medio británico que ya se han visto DeepFakes (Falsificaciones Profundas) pirateando a celebridades y otras figuras públicas en video.
“Ya hemos visto a DeepFakes imitar a celebridades y figuras públicas en formato de video, pero estos han tomado alrededor de 17 horas de filmación para crear de manera convincente”.
Aunque la creación de piezas convincentes a través de video demanda más tiempo y recursos, para producir voces falsas sólo se necesitan unas pocas grabaciones.
“Ser capaz de falsificar voces requiere menos grabaciones para producir. A medida que aumenta la potencia informática, estamos empezando a ver que estos se vuelven aún más fáciles de crear, lo que pinta una imagen aterradora por delante”.
La hipótesis del especialista de ESET sigue tomando fuerzas al conocer un caso que ocurrió en marzo de 2019, cuya historia ha sido publicada el 30 de agosto por Wall Street Journal.
En el diario norteamericano se ha relatado que criminales utilizaron un software basado en Inteligencia Artificial (IA) para imitar la voz del CEO de una empresa de energía alemana y así llevar adelante un engaño que permitió a los estafadores robar 220 mil euros.
Los estafadores, según se ha explicado en el medio, han utilizado esta tecnología para suplantar la identidad del director ejecutivo de la multinacional alemana y engañar al CEO de una de sus sedes en el Reino Unido.
Este último creyó que estaba hablando telefónicamente con su jefe y aseguró haber reconocido el ligero acento alemán en su voz. De esta manera, el supuesto CEO de la firma alemana solicitó al CEO de la sede británica realizar un pago urgente a un proveedor de Hungría.
En el blog de investigación de seguridad de ESET se ha agregado que los estafadores volvieron a comunicarse con la víctima haciéndose pasar nuevamente por el CEO alemán, asegurándole que la transferencia sería reembolsada.
“Y, por si fuera poco, lo contactaron en una tercera oportunidad (antes del supuesto reembolso) para solicitar una tercera transferencia en calidad de urgente. En ese momento, el director ejecutivo de la sede británica comenzó a sospechar y se rehusó a realizar la transferencia”.
Alcanzando objetivos con ML
Lysa Myers, investigadora de Seguridad, ha analizado el escenario del ML en el capítulo “Las máquinas aprenden, los humanos no tanto” del informe Tendencias en el campo de la ciberseguridad para el 2019, elaborado por ESET.
La experta ha hecho especial hincapié en la importancia de tener presente que es más que factible que los cibercriminales (sobre todo los grupos financiados por algún Estado) adopten el uso del Machine Learning para ejecutar sus objetivos, que en la mayoría de los casos es robar dinero mediante estafas u otros bienes de valor.
“Facebook junto compañías como Microsoft y distintas universidades de los Estados Unidos ya se han percatado de esta tendencia creciente y han manifestado su preocupación con el anuncio del lanzamiento del desafío ‘Deepfake Detection Challenge (DFDC)’”.
Se trata de una iniciativa que busca contrarrestar el fenómeno creciente de las DeepFakes y que, además, premiará a quien sea capaz de desarrollar una tecnología que pueda ser utilizada por cualquiera y que tenga la capacidad de detectar el uso de Inteligencia Artificial para generar videos adulterados.
Evitando estafas con ML
Generar conciencia y estar mejor preparado para enfrentar lo que puede significar una tendencia y una de las posibles formas de evolución de las técnicas de ingeniería social, es lo que se ha pretendido desde ESET al hacerse eco de la divulgación de casos como el de la estafa que dio a conocer The Wall Street Journal.
Moore, para prevenir ser víctima de estafas en las cuales se imite la voz de una persona de confianza (usando el ML), ha asegurado que existen algunas medidas que se pueden tener en cuenta para minimizar los riesgos de caer en el engaño.
“En primer lugar, saber que es posible que alguien logre suplantar la identidad de una persona legítima al imitar su voz. Una vez que sabemos que esto es posible podemos, por ejemplo, incluir algunas medidas de verificación antes de realizar una transferencia de dinero”.
En este sentido, se puede corroborar que el número entrante es el de la persona que dice ser y comunicarle que se le devolverá el llamado. Aquí, por supuesto, se debe marcar de manera manual el número de teléfono que el receptor de la falsa llamada tiene en su agenda y que corresponde al verdadero contacto.