El fraude del CEO: fake news y deepfake en el ámbito empresarial

Rubén García Ramiro    12 febrero, 2020

Hace ya casi un año tuve la oportunidad de entrevistar a Pedro Pablo Pérez, hoy al frente del área de seguridad de Telefónica Tech. Por aquel entonces ya nos adelantó que las fake news (noticias falsas o bulos) serían una de las principales amenazas que los CISO deberían tener en su radar. Dijo: “Este año empezaremos a ver las fake news como herramientas para atacar la reputación de las empresas y sus ejecutivos”.

Y, como la tecnología no descansa, podríamos decir no solo que su pronóstico se ha cumplido, sino que lo hemos visto evolucionar al deepfake.

De la fake news al deepfake

El deepfake es como el “ultrafalso”. Se trata de una herramienta que va un paso aún más allá que las fake news para erosionar la reputación. Tiene su origen en el ámbito político pero, debido a su poder de manipulación y sus efectos, se está trasladando al mundo empresarial, en el que impactará con pérdidas millonarias.

La “zona cero” de las fake news varía según los distintos medios, pero personalmente creo que el punto de inflexión por el impacto político que tuvo fue el 23 de mayo de 2019. Tan solo dos meses después de la entrevista en este blog a la que me refería al comienzo, el presidente del gobierno de los Estados Unidos, Donald Trump, viralizaba un vídeo de Nancy Pelosi, presidenta de la Cámara de representantes, en el que podría dar la sensación de estar en estado de embriaguez. Este vídeo que el propio presidente viralizó estaba manipulado. Según un perito informático, en él se reducía la velocidad hasta en un 75 por ciento con el fin de trasmitir una “comunicación entorpecida” que menospreciaba a la protagonista.­­

¿Qué es exactamente el deepfake?

A lo largo del año pasado vimos cómo comenzaba a aparecer en titulares el deepfake, que básicamente es un modelo de aprendizaje automático que se utiliza para crear audio y vídeo realista pero falso o manipulado. Los primeros ejemplos de deepfake que pudimos ver eran, sobre todo, caras superpuestas sobre personajes famosos o de cierta reputación.

Para que os hagáis una idea del proceso, por un lado se cargan cientos de fotos de la persona sobre la que se hace el truco y, por otro, cientos de fotos o vídeos de la que suplanta a la anterior, y después se procesan. Cuantas más fotos y vídeos, mejor calidad, y cuanta mayor calidad, el coste computacional de procesamiento crece. He hecho la prueba: un vídeo deepfake de 45 segundos, con unas 100 fotos de cada personaje, supone un procesamiento de cinco horas de un portátil estándar.

La calidad resultante es de bastante baja calidad y se puede distinguir razonablemente como ilegítimo, pero nos sirve para entender el potencial impacto que esta nueva tecnología podría tener en nuestra capacidad de discernir los hechos de la ficción.

Hasta la fecha, la mayor parte de la deepfake se ha centrado en su potencial para campañas de desinformación y manipulación masiva, alimentadas a través de las redes sociales. Pero dicha tecnología no solo se centra en la suplantación de caras en vídeos, sino que también emplea cambios de voz, lo que permite que se pueda poner cualquier cosa en boca de cualquier persona.

Pero ya no solo eso… Imaginad la combinación de las deepfakes con uno de los métodos de ataque más conocido: el spearphishing, que básicamente consiste en ataques dirigidos a empleados de alto nivel para tratar de engañarlos para la realización de una tarea. La finalidad, por ejemplo, podría ser el pago de una factura falsa, el envío de un documento confidencial o la concesión de credenciales a un usuario. Este tipo de ataque de ciberseguridad resulta más difícil de detectar desde una perspectiva tecnológica, ya que el correo electrónico que lo desencadena no suele contener enlaces o archivos adjuntos sospechosos.

El fraude del CEO 2.0

Deepfake tiene la capacidad de sobrealimentar estos ataques y puede generar el fraude del CEO 2.0, que ya incluso ha salido en los medios. Imaginad que recibís un correo electrónico del CEO de vuestra compañía en el que os pide vuestra participación en alguna acción financiera (normalmente se trata de un ataque dirigido a gente de menor rango, pero con pocos grados de separación); después os llega un mensaje de texto del número móvil del CEO y, finalmente, un correo con una nota de voz del CEO, que hace referencia a las comunicaciones anteriores. Llega un momento en el que el ataque rompe la barrera de la verdad y el receptor acepta la solicitud como real y auténtica. Tras la insistencia y oír su propia voz, el empleado no considera la posibilidad de que la orden del CEO sea falsa ni se le pasa por la cabeza desautorizarlo.

Estoy convencido de que conforme avance la tecnología deepfake y dispongamos de equipamiento más potente podremos llegar a ver videollamadas con quien creemos que es nuestro CEO pero que, en realidad, será un vídeo falso creado en tiempo real. 

El remedio: “Zero Trust”

Esta amenaza en el horizonte genera un nuevo frente que requiere que la ciberseguridad deba evolucionar también. Actualmente no hay un escudo efectivo para defenderse del deepfake, si bien ya se están haciendo progresos, como el Deepfake detection challenge. Recientemente Twitter también ha anunciado que tomará medidas. De momento, el único remedio es la concienciación, el espíritu crítico y educación por parte de los usuarios frente a estos nuevos tipos de ataques. Habrá que estar alerta ante cualquier comportamiento sospechoso o fuera de lugar por parte del destinatario, por mínima que sea la sospecha. Es el “Zero Trust” como mantra en ciberseguridad.

Foto de Ordenador creado por freepik – www.freepik.es

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *