El uso de esta herramienta por parte de la ciberdelincuencia ha crecido. Solo en 2023 alrededor de 500,000 videos usaron voz o imagen de manera falsa en la red.
En menos de un minuto pueden ocurrir distintas cosas: un choque automovilístico, el nacimiento de unos 150 bebés en el mundo y también el robo de tu identidad. De acuerdo con Cisco, a los ciberdelincuentes solo les toma 30 segundos clonar tu voz desde un video o grabación, y aunque parezca algo que únicamente ocurría en películas de espías, algunas empresas han empezado a caer en fraudes por este tipo de ataques.
Ricardo Amper, CEO de Incode, señaló en una entrevista con MMCI que dentro de su organización estuvieron expuestos a un intento de fraude hace unos meses; sin embargo, no se logró el objetivo de los ciberdelincuentes: tener dinero a cambio.
“Hace cuatro meses nuestro tesorero recibió un WhatsApp de un Ricardo Amper falso que argumentaba tener una gran adquisición y necesitaba que hiciera algunas transferencias. El tesorero sospechó y le pidió tener una videollamada, misma que logró tener el Ricardo Amper falso por unos minutos, pero que pidió migrar a una llamada telefónica. Tras 40 minutos de plática el tesorero fingió que seguiría las instrucciones pero prefirió mandar a alguien a buscarme para rectificar la solicitud”, apuntó el ejecutivo.
Gracias a esta acción, no se llevaron a cabo las transferencias y se pudo alertar a la empresa de este nuevo tipo de fraude. Las llamadas deepfakes se han vuelto un problema para las plataformas de redes sociales, pero también para las compañías, quienes empiezan a vivir casos como el que Amper relata.
En enero de 2024, un empleado de finanzas de una multinacional con sede en Hong Kong recibió el correo electrónico del director financiero de la empresa en el Reino Unido. El director financiero hablaba de realizar transacciones confidenciales, lo que parecía extraño, pero una videollamada con él aclararía la situación.
En la llamada participaron varias personas con altos cargos en la organización, así que el trabajador de Hong Kong siguió adelante y realizó 15 pagos, por un total de 200 millones de dólares de Hong Kong (25.6 millones de dólares estadounidenses), a cinco cuentas bancarias locales.
Las cosas se complicaron cuando se comunicaron las transacciones a la oficina central. Resultó que el director financiero nunca había solicitado las transferencias. Los interlocutores ni siquiera eran reales. Todo había sido preparado por un ciberdelincuente.
“Creo que el estafador descargó los vídeos con antelación y luego utilizó la inteligencia artificial para añadir voces falsas y utilizarlas en la videoconferencia”, declaró más tarde el superintendente jefe de la policía, Baron Chan Shun-ching, a la Radio Televisión de Hong Kong.
Aunque este tipo de prácticas son más conocidas en el colectivo, aún faltan protocolos para que las empresas sepan qué hacer en caso de que tengan este tipo de solicitudes. Amper argumenta que lo mejor es verificar con la persona en carne y hueso, aunque eso pueda restar tiempo en ciertas operaciones.
Cuidar la identidad en línea
De acuerdo con el Estudio de Identidad en Línea 2024, hay una gran preocupación de los consumidores por los riesgos asociados a la IA generativa y las deepfakes, incluido el potencial aumento de la ciberdelincuencia y el fraude de identidad.
El estudio, encargado por Jumio, examinó las opiniones de más de 8,000 consumidores adultos, repartidos por igual entre el Reino Unido, Estados Unidos, Singapur y México. Los resultados sugieren que nueve de cada 10 consumidores mexicanos (89%) se preocupan diariamente de ser engañados por un deepfake para entregar información sensible o dinero, comparado con el 72% en general. Solo 15% de los consumidores globales afirma que nunca se ha encontrado con un vídeo, audio o imagen falsificada, mientras que 60% ha estado expuesto a una deepfake en el último año.
¿Qué se puede hacer? Lo ideal es que los consumidores eviten dar información innecesaria en redes sociales y la red, además de siempre sospechar y verificar por más de un medio que la solicitud que se está haciendo es real.