En esta entrevista de Help Net Security, Camellia Chan, directora ejecutiva de X-PHY , analiza los peligros de los deepfakes en incidentes reales, incluyendo su uso en fraudes financieros y desinformación política. Explica las estrategias de defensa basadas en IA y recomienda actualizar los planes de respuesta a incidentes y las políticas internas, integrar herramientas de detección y garantizar el cumplimiento de normativas como la DORA de la UE para mitigar la responsabilidad.
¿Cómo han utilizado los atacantes deepfakes en incidentes del mundo real, incluso si es de manera hipotética, y qué tan plausibles se están volviendo esas tácticas?
Ya hemos visto deepfakes utilizados en todo tipo de situaciones, desde fraudes financieros hasta desinformación política. Una de las tendencias más alarmantes son las estafas de suplantación de identidad , en las que los atacantes utilizan audio o vídeo sintéticos para hacerse pasar por directores ejecutivos o políticos.
Un ejemplo notable ocurrió en Hong Kong en 2020, cuando un gerente de banco fue engañado para transferir 35 millones de dólares tras recibir una llamada telefónica de alguien que creía ser un director de la empresa. El estafador utilizó clonación de voz basada en IA para imitar a la perfección la voz del ejecutivo y respaldó la solicitud con correos electrónicos y documentación convincentes. Este caso fue uno de los primeros y más notorios ejemplos de fraude de voz deepfake en el sector financiero.
Este es solo un ejemplo, pero últimamente he visto un número creciente de informes donde empresas fueron engañadas para transferir grandes sumas de dinero mediante videollamadas ultrafalsas. Algunos de nuestros socios, clientes e incluso mi personal interno lo han señalado como una preocupación. Así que, claramente, ya no son hipotéticos: están sucediendo ahora, y las herramientas para crearlos son cada vez más accesibles.
Las tácticas son muy plausibles porque explotan nuestra confianza en la información visual y auditiva. ¿Recuerdan el dicho « ver para creer »? Ya ni siquiera podemos decirlo. Mientras la gente confíe en lo que ve y oye como prueba, estos ataques serán efectivos y difíciles de detectar sin las herramientas adecuadas.
¿Qué papel desempeña la IA en la defensa contra los deepfakes? ¿Existen modelos o arquitecturas prometedores diseñados específicamente para ello?
La IA es tanto el problema como la solución en lo que respecta a los deepfakes. Por un lado, impulsa la creación de contenido multimedia sintético . Por otro, es nuestra mejor defensa. Los modelos avanzados de aprendizaje automático, en especial la IA multimodal, son cada vez más eficaces para detectar indicios sutiles y sofisticados de manipulación, desde parpadeos antinaturales e inconsistencias faciales hasta señales audiovisuales discordantes. El valor del uso de la IA reside en su capacidad para brindar protección en tiempo real, con mayor privacidad y tiempos de respuesta más rápidos, cruciales a medida que las amenazas se vuelven más específicas y dinámicas.
Algunos modelos prometedores de IA son las redes neuronales convolucionales (CNN), las redes de memoria a corto y largo plazo (LSTM) y las unidades recurrentes compuertadas (GRU). Las CNN se utilizan para analizar detalles minuciosos en datos visuales, mientras que las LSTM y las GRU son modelos de IA basados en memoria para rastrear la sincronización audiovisual.
La detección de deepfakes se integra cada vez más en ecosistemas de seguridad más amplios, donde cada capa, desde el hardware hasta los datos y el contenido, actúa como punto de control de autenticidad, lo que añade una capa vital de confianza. Al combinar la detección de deepfakes con una robusta seguridad de endpoints, las organizaciones pueden garantizar que cada dispositivo esté equipado para verificar la integridad de las comunicaciones digitales de forma rápida, privada y sin necesidad de transmitir contenido sensible a la nube.
¿Cómo deberían las organizaciones actualizar sus planes de respuesta a incidentes para incluir escenarios de deepfake?
Trate los deepfakes como cualquier otra ciberamenaza y aplique una mentalidad de confianza cero. Esto significa no dar por sentado que algo es real solo porque parezca o suene convincente.
Actualice su plan de respuesta para incluir pasos para verificar el contenido de video o audio, especialmente si se utiliza para solicitar acciones sensibles. Cree un modelo de riesgo que considere cómo los deepfakes podrían usarse para afectar procesos empresariales críticos, como comunicaciones ejecutivas, aprobaciones financieras o interacciones con clientes. Asegúrese de que su equipo sepa cómo detectar señales de alerta, a quién alertar y cómo documentar el incidente.
Utilice herramientas de detección que puedan analizar los medios en tiempo real y guardar el contenido marcado para su revisión. Cuanto más rápido pueda identificar y actuar, más daños podrá prevenir. En el entorno actual, es más seguro preguntar primero y confiar solo después de verificar.
¿Qué políticas internas deberían implementar las organizaciones para mitigar el riesgo de ataques deepfake?
Las organizaciones deben implementar políticas claras en torno a la verificación, la detección y el escalamiento. Cualquier solicitud sensible, ya sea financiera, de credenciales o de datos confidenciales, debe requerir una verificación adicional, como una devolución de llamada o una segunda aprobación.
La concienciación sobre deepfakes debe integrarse en la capacitación regular para que los empleados puedan detectar señales de alerta con anticipación. Utilizar las herramientas de detección para apoyar a los equipos escaneando y marcando contenido multimedia sospechoso en tiempo real, ayudándolos a tomar decisiones más rápidas y seguras.
Los planes de respuesta a incidentes también deben abarcar cómo escalar, preservar la evidencia y comunicarse si se sospecha de un deepfake.
En definitiva, cuestionar las comunicaciones inusuales debe convertirse en la norma, no en la excepción.
¿Existe riesgo de responsabilidad o incumplimiento normativo si una empresa es víctima de un deepfake? ¿Cómo debería considerarse esto en la planificación?
Sí, por supuesto, especialmente si se filtran datos o se pierde dinero. Los reguladores esperan que las empresas tomen medidas razonables para prevenir este tipo de fraude. En virtud de leyes como la Ley de Resiliencia Operativa Digital (DORA) de la UE, las organizaciones tienen el deber de proteger los datos personales y garantizar la resiliencia operativa frente a las ciberamenazas. No anticipar ni protegerse contra ataques de deepfake podría aumentar el riesgo de responsabilidad, multas y daños a la reputación.
Por eso es importante incluir los deepfakes en su planificación de ciberseguridad y riesgos. Trabaje con su equipo legal, actualice sus procesos y asegúrese de que sus sistemas y personal estén preparados. Si algo sucede, querrá demostrar que se lo tomó en serio y que estaba preparado.
Fuente y redacción: helpnetsecurity.com
