En 2020, la cadena británica Channel 4 fue duramente criticada por publicar en Twitter una parodia "deep fake" del discurso anual de Navidad de la Reina. Apenas tres años después, ITVX ha presentado la serie de comedia Neighbour Wars, que presenta como "una tecnología de IA de última generación es capaz de convertir a los mejores imitadores del Reino Unido en las celebridades más famosas del mundo".
Puede que piense que se trata de algo inofensivo, pero los rápidos avances en este campo pueden exigir un replanteamiento completo de la formación en ciberseguridad de su organización.
A la mayoría de nosotros nos gusta pensar que somos lo suficientemente inteligentes como para evitar los peligros en línea, pero, según la mayoría de las estimaciones, uno de cada tres empleados caerá en una estafa de phishing por correo electrónico. Un estudio de la Universidad de Stanford reveló que una de cada cuatro personas estaba dispuesta a admitir que había hecho clic en un enlace de un correo electrónico de phishing.
Esto debería hacer saltar las alarmas de los equipos de seguridad, ya que el material de ciencia ficción se convierte rápidamente en parte de nuestra realidad cotidiana. ¿Hasta qué punto está preparado su personal para enfrentarse a la simple estafa de phishing, cada vez más sofisticada? Analizamos tres escenarios, desde aquellos para los que puede estar preparado hasta aquellos para los que puede no estarlo, aunque ya estén aquí.
Nivel Uno: Correo electrónico de phishing de la vieja escuela
De: Pete UberbossPara: Mika Underling
Asunto: URGENTE
Estimado Mika
Con carácter prioritario envíame los datos de pago de nuestros proveedores. Los necesito de inmediato. Tienes cinco minutos para responder a este correo.
Muchas gracias
Pete
Esto no es realmente del jefe de departamento de Mika, Pete. Mika acaba de publicar en LinkedIn sobre su nuevo papel como empleado de cuentas junior en una empresa donde Pete es el director financiero, y el actor de la amenaza simplemente está tratando de explotar esta información disponible públicamente.
Si tenemos en cuenta que un empleado medio tiene acceso a unos 10.8 millones de archivos, es fácil entender por qué a un actor de amenazas no le importan los cargos ni la antigüedad a la hora de elegir un objetivo.
Afortunadamente, Mika prestó atención durante la inducción de TI y señaló este correo electrónico al equipo de seguridad.
Nivel dos: El imitador
Mika recibe un correo electrónico de Pete con un enlace a una llamada de Zoom. Mika se pone nerviosa de inmediato. Nunca han hablado, pero Mika sabe quién es Pete por su antigüedad en la organización.
Mika se une a la llamada y Pete se disculpa por tener la cámara apagada ("problemas de red"), pero la foto del avatar es de él. Pete le pide a Mika que le envíe unos documentos confidenciales, y se enfada bastante cuando Mika sugiere que esta petición se dirija a través de un directivo.
Para empezar, Mika no es la persona adecuada con la que contactar para obtener esta información, así que termina la llamada educadamente e informa a seguridad informática.
Mika ha evitado por poco caer en una innovación muy reciente en las estafas de phishing, que utilizan tecnología de "voz profunda" o deep voice. Los investigadores de Dubái siguen intentando recuperar 400.000 dólares después de que un director de banco de Hong Kong fuera engañado en 2020 por la voz clonada de un director de empresa que le ordenaba realizar transferencias por 35 millones de dólares.
Nivel tres: El gemelo digital
Pete fue el ponente principal en un evento del sector, y su empresa colgó un vídeo de alta calidad de su discurso en su canal de YouTube. Hay varios vídeos más en los que aparece Pete, algunos grabados en su oficina. No es un gran usuario de las redes sociales, pero Pete tiene un perfil completo en LinkedIn.
Combinando la información de estas fuentes con el aprendizaje automático y la IA, incluido un sofisticado programa de chat, un actor de amenazas crea a "Fake Pete", el gemelo falso y profundo del Pete real.
El falso Pete empieza a contactar con todas las conexiones de LinkedIn del Pete real y con todos los empleados de la empresa de Pete, con el objetivo de conseguir que estas personas se unan a una videollamada con él. Muchas personas no lo hacen porque no conocen personalmente a Pete y no reconocen su nombre.
Pero Mika, una empleada subalterna de la empresa de Pete, sí acepta la invitación. Mika no sospecha nada. Este falso Pete no sólo se parece y suena como Pete, sino que también parece estar sentado en la oficina de Pete.
Cuando el falso Pete pregunta si Mika puede compartir la pantalla para entender mejor algunos productos nuevos que se están desarrollando, Mika no duda en hacerlo.
Este escenario puede parecer el más remoto, pero el futuro podría estar ya aquí. El director de comunicaciones de una bolsa de criptomonedas ha afirmado que unos hackers crearon un holograma de inteligencia artificial de él que utilizaron para intentar estafar a los posibles socios comerciales de su empresa a través de Zoom.
Las personas son la primera y la última línea de defensa
No está claro hasta qué punto era convincente este holograma, dado que en la actualidad la mayoría de los modelos de aprendizaje automático no incluyen vistas de perfil de los rostros. Sin embargo, este es un problema que los atacantes seguramente están tratando de superar.
En la actualidad, muchos de nosotros trabajamos más a distancia, con colegas y clientes en ubicaciones remotas. Aunque esto es muy cómodo, el hecho de que haya menos interacciones cara a cara puede hacer que nos sintamos más cómodos -y, por tanto, menos precavidos- cuando tratamos con personas en línea.
Establecer un protocolo riguroso para la transferencia de fondos y datos confidenciales, incluso entre compañeros de trabajo, que implique una breve cadena de permisos de aprobación, puede ser el primer paso eficaz para proteger a su organización, su personal y sus clientes.
¿Cómo podemos ayudar?
En Thomas Murray, contamos con 30 años de experiencia trabajando con empresas de los sectores más complejos del mundo. Combinamos ese conocimiento con nuestra galardonada Tecnología de Ciberseguridad para ofrecer una protección escalable y completa a organizaciones de todos los tamaños y sectores.
Hable con nosotros hoy mismo sobre cómo podemos ayudarle a proteger su organización.