¿Qué tienen en común el rapero Eminem, el general De Gaulle y el director ejecutivo anónimo de una empresa energética británica? A primera vista, ninguno. Sin embargo, las voces de los tres fueron recreadas mediante inteligencia artificial (IA). Si bien se puede aprovechar esta tecnología, existe la preocupación de que se aprovechen los deepfake para engañar a un público aún desprevenido.
Tres ejemplos y un gran problema
En el caso de Eminem, fue el famoso DJ David Guetta quien recientemente, durante un concierto, recreó con un software la voz del rapero. Este uso ha provocado confusión entre los fans y preguntas sobre los derechos de autor y el consentimiento del artista estadounidense, poniendo en primer plano el tema del uso deepfake de la voz gracias a la IA, especialmente en el mundo de la música.
También podríamos citar al general de Gaulle y su célebre llamamiento del 18 de junio de 1940, del que hoy no queda ningún rastro sonoro y que ha sido reconstruido recientemente mediante inteligencia artificial por Le Monde y el IRCAM (Instituto de Investigación y Coordinación de la Música y la Acústica). Para ello, los investigadores grabaron la voz del comediante francés François Morel citando el famoso discurso, para luego superponer sobre ella la del general.
Lejos de sus usos intrigantes de la tecnología deepfake, en el caso de nuestro CEO anónimo, el uso de esta técnica fue por otro lado mucho más malicioso ya que los estafadores utilizaron la tecnología deepfake de IA para falsificar la voz del líder en el propósito. de usurpar 240.000 dólares mediante consultas telefónicas.
La técnica del phishing, que consiste en utilizar técnicas de ingeniería social para engañar a las víctimas para que revelen información o realicen transacciones, no es nueva. Sin embargo, utilizar el aprendizaje profundo (DL) y la inteligencia artificial para suplantar identidades con un realismo sorprendente es un nuevo tipo de phishing profundo. El voice phishing o “vishing” (el uso de la voz con fines de phishing) se ha sumado al arsenal de tácticas cada vez más sofisticadas empleadas por los ciberdelincuentes para lograr sus objetivos. Las investigaciones muestran que dos tercios de los ciberdefensores dicen haber visto el uso de deepfakes maliciosos como parte de un ataque, lo que representa un aumento interanual del 13%.
Cuando los ciberdelincuentes son más fuertes que la ley
Además de utilizar la IA para imitar una voz confiable, también se envían correos electrónicos falsos en nombre de abogados o asesores bancarios, lo que demuestra el enfoque de múltiples niveles que adoptan los estafadores para ganarse la confianza de sus víctimas. También demuestra que los ciberdelincuentes ya no se detienen ante nada. Si antes atacaban a personas consideradas más vulnerables, ahora los representantes de la ley ya no escapan a ello. En estos casos concretos, no es el abogado el objetivo de una estafa, sino que la utilización de su identidad demuestra que la ley es impotente ante este fenómeno.
Si estas técnicas están en auge es porque siguen el modelo de la forma en que las personas se comunican entre sí hoy en día. Sólo en WhatsApp se envían una media de 7 mil millones de mensajes de voz al día. Dado que los mensajes de voz y vídeo son cada vez más comunes, esta es otra ventaja para que los ciberdelincuentes se pongan en contacto con las víctimas. Combinados con técnicas de video vishing y deepfake basadas en inteligencia artificial, las víctimas están cada vez más a merced de estos enfoques que ya no pueden “decodificar”. Entonces, ¿cómo protegerse contra estos ataques? Bueno, la respuesta no es tan simple. En el ámbito legislativo no se especifica nada realmente, aparte de la lucha contra la desinformación o incluso la pornografía. Sin embargo, el tema es tan reciente y conmovedor que parece complicado abordarlo con resultados efectivos.
La web oscura, una auténtica biblioteca de tecnologías Deepfake
Los ciberdelincuentes ahora tienen acceso a una variedad de servicios deepfake disponibles para su compra en la web oscura. Si bien visitar la web oscura no es un delito según la ley, utilizar herramientas ilícitas o vender bienes sí lo es. Y, de hecho, existen mercados ilícitos reales que ofrecen herramientas que recrearán digitalmente la voz de las víctimas, entre otras características. ¡Este es un verdadero El Dorado para los ciberdelincuentes!
Ante tal arsenal de métodos cada vez más sofisticados, está claro que la tecnología no será suficiente para ganar la guerra contra el cibercrimen, especialmente contra los deepfakes. En cuanto al arsenal legislativo contra los deepfakes, observamos que actualmente no existe ninguna norma que limite explícitamente su uso en Francia. Por el momento, tenemos que contentarnos con disposiciones del derecho común como los derechos de imagen, la protección de la privacidad y los datos personales. Sin embargo, las pistas están en marcha. El 4 de julio, el Senado adoptó dos enmiendas gubernamentales (impulsadas por Jean-Noël Barrot, ministro delegado para la Transición Digital y las Telecomunicaciones) dirigidas a los deepfakes. El objetivo es proponer la inclusión del deepfake en el Código Penal (1 año de prisión y 15.000 euros de multa), así como introducir una circunstancia agravante cuando el delito se cometa a través de una red de comunicación electrónica.
Y mientras tanto, ¿qué pueden hacer las empresas?
Nunca lo repetiremos lo suficiente, pero para que funcione es necesario centrarse en la educación de los empleados y del público en general. Éste es un criterio decisivo y crucial. Un buen punto de partida es verificar la identidad de cada persona con acceso a información sensible. Las empresas tienen un papel clave que desempeñar en aumentar la capacitación y concientización del personal para detectar solicitudes sospechosas e “inusuales” de colegas, clientes y otras personas, ya sea por correo electrónico, teléfono o redes sociales. Una gran conciencia sobre los ciberataques deepfake debe considerarse una prioridad, junto con una educación continua sobre las muchas formas en que los empleados pueden mitigar o frustrar estos ciberataques para protegerse a sí mismos y a su negocio.
Sin embargo, a pesar de todas estas medidas, el error humano sigue siendo inevitable. Y en la batalla contra un crimen cada vez más profesionalizado, los ciberdefensores deben combatir fuego con fuego apelando a mecanismos de defensa basados en inteligencia artificial para responder a estas crecientes amenazas.
Además, a nivel empresarial, las tecnologías innovadoras como la seguridad de identidad basada en inteligencia artificial reducen el riesgo de ataques cibernéticos y violaciones de datos al detectar comportamientos irregulares de los usuarios.
Más del 84% de todos los incidentes de seguridad de TI son atribuibles a identidades comprometidas. Sin embargo, casi la mitad de las organizaciones (45%) apenas están comenzando a prepararse para ataques basados en identidad. La IA, que es la base sobre la que se construye un proceso de identidad, brinda a las organizaciones una mejor visibilidad y conocimiento de los riesgos específicos que enfrenta la gestión de acceso e identidad.
Al automatizar y optimizar los procesos y decisiones de identidad con IA, los expertos en ciberseguridad pueden centrarse en estrategias de defensa más avanzadas. La inteligencia artificial nunca podrá reemplazar la valiosa experiencia humana, pero puede mejorarla mediante el uso de algoritmos que la amplificarán para respaldar a los expertos en seguridad, profesionales de gestión de identidades y personal de respuesta a desastres.
Ya sea contra estafadores que utilizan phishing o incluso deepfake, si se usa con prudencia, la IA puede apoyar el ingenio humano en la lucha contra el ciberdelito y llenar los vacíos que observamos, especialmente en la primera línea de defensa.