VIE 13/03
TDC 17.8368
MAR 10/02
INPC 144.3070
DOM 01/03
RECARGOS FEDERALES 2.07%
DOM 01/02
UMA 117.31
La clonación de voz mediante Inteligencia Artificial ha escalado de ser una curiosidad tecnológica a una herramienta de fraude financiero de alta precisión.
Con el avance constante y acelerado de la tecnología, cada vez es más complejo diferenciar el contenido hecho por Inteligencia Artificial (IA) del contenido realizado por un humano.
Entre imágenes, canciones, videos y noticias, la IA está convirtiéndose en el día a día de las personas, independientemente de a qué te dediques. Sin embargo, con esta adopción también han surgido nuevos riesgos y delitos, como la suplantación de identidad.
ÚNETE A IDC en nuestro canal de Whatsapp
La Secretaria de Seguridad y Protección Ciudadana (SSPC) explicó que el uso cotidiano de los mensajes de voz ha facilitado la comunicación, pero también, ha incrementado la posibilidad para que, por medio de la IA, se cometan fraudes al clonar la voz de una persona para solicitar supuestos favores que, por lo general, son económicos.
Las llamadas falsas con IA no solo se enfocan en replicar sonidos, sino en analizar otros elementos como son el tono, la entonación y la pronunciación, con lo que alcanza una mayor precisión y se convierten en un riesgo grave para la realización de fraudes y suplantación de identidad.
¿Cómo se realizan los ataques con llamadas falsas creadas con IA?
ESET, compañía de detección proactiva de amenazas, aseguró que las deepfakes pueden ser usadas de varias formas: desde eludir autenticaciones y controles, hasta infiltrarse en organizaciones creando un candidato falso y sintético para procesos de selección de personal. Sin embargo, la mayor amenaza que plantean es el fraude financiero/transferencias bancarias y el secuestro de cuentas de ejecutivos.
Según ESET, un ataque podría realizarse de la siguiente manera:
- El atacante selecciona a la persona que va a suplantar. Puede ser un CEO, un CFO o incluso un proveedor.
- Encuentra una muestra de audio en Internet, lo que resulta bastante fácil para ejecutivos de alto nivel que hablan en público con regularidad. Puede proceder de una cuenta en las redes sociales, de una convocatoria de beneficios, de una entrevista en vídeo o televisión o de cualquier otra fuente. Unos segundos es suficiente.
- Seleccionan a la persona a la que van a llamar. Para ello, puede ser necesario realizar una investigación documental, normalmente en LinkedIn, en busca de personal del servicio de asistencia informática o miembros del equipo financiero.
- Pueden llamar directamente a la persona o enviar un correo electrónico por adelantado: por ejemplo, un director general que solicita una transferencia de dinero urgente, una solicitud de restablecimiento de contraseña o autenticación multifactor (MFA), o un proveedor que exige el pago de una factura vencida.
- Llaman al objetivo preseleccionado, utilizando audio deepfake generado por GenAI para hacerse pasar por el CEO/proveedor. Dependiendo de la herramienta, pueden ser un discurso preestablecido o utilizar un método más sofisticado en el que la voz del atacante se traduce casi en tiempo real a la de su víctima.
“Algunas herramientas son capaces incluso de insertar ruido de fondo, pausas y tartamudeos para que la voz suplantada resulte más creíble. Cada vez imitan mejor los ritmos, las inflexiones y los tics verbales propios de cada orador. Y cuando un ataque se lanza por teléfono, los fallos relacionados con la IA pueden ser más difíciles de detectar para quien atiende”, advirtió el Investigador de Seguridad Informática de ESET Latinoamérica, Mario Micucci.
ESET aseveró que se puede detectar una llamada creada con tecnología dependiendo de la IA generativa que estén utilizando.
Entre los elementos que pueden caracterizar a una llamada falsa son:
- Un ritmo antinatural en el discurso.
- Un tono emocional que no se escucha natural y/o plano.
- Respiración antinatural o incluso frases sin respiración.
- Un sonido inusualmente robótico.
- Ruido de fondo extrañamente ausente o demasiado uniforme.
Además, la empresa de ciberseguridad recomendó empezar con la formación y concientización de los empleados, para que ellos sepan qué esperar, qué está en juego y lo más importante, cómo actuar. Aunado a establecer una serie de recomendaciones para evitar caer en dichos engaños:
- Verificar cualquier solicitud telefónica; utilizar cuentas de mensajería corporativas para comprobar con el remitente de forma independiente e inmediata.
- Tener dos personas que firmen las transferencias financieras importantes o los cambios en los datos bancarios de los proveedores.
- Acordar contraseñas o preguntas que los ejecutivos deban responder para demostrar que son quienes dicen ser.
“La mejor opción que tiene una organización para mitigar el riesgo es un triple enfoque basado en las personas, los procesos y la tecnología. Para que se adapte a medida que avanza la innovación en IA, es importante que sea revisado periódicamente. El nuevo panorama del ciberfraude exige una atención constante”, concluyó el investigador de ESET.
¿Quieres saber más ? ¡Sigue a IDC en Google News!
