Alarma ante la escalada de ataques con «deepfake» El cibercrimen ya supone 8,5 billones de dólares. Si fuera un país sería la tercera potencia

La estafa o timo del CEO (director general en inglés) se empezó a popularizar hace unos años. El modus operandi habitual, hasta la aparición de la IA, consistía en que el estafador mandaba un mail a un empleado de una gran compañía, normalmente el encargado de las finanzas, solicitando una transferencia. Se hacía pasar por el CEO para conseguir credibilidad. Eso era todo hasta la aparición de los programas de creación de voz y de imagen sintética con inteligencia artificial.

En 2019, Forbes publicaba el caso de un directivo de Reino Unido que había sido engañado por un deepfake de voz. Los atacantes sustrajeron a la empresa 24.0000 dólares. Recientemente conocíamos un caso que representa el culmen de la sofisticación en el timo del CEO. Un empleado se reunía «aparentemente» con sus compañeros y el director financiero de su empresa para asegurarse de que la orden de realizar un pago que le había entrado por correo, y de la que sospechó, era verdad. Todas las personas que vio por la pantalla eran sintéticas. Los ladrones consiguieron un botín de 24 millones de euros.

Las herramientas IA se hacen cada vez más sofisticadas y los ciberdelincuentes se apoyan en ellas para sofisticar sus engaños. En 2023 clonaron la voz de un hombre para pedir un rescate a sus padres por teléfono. La EMT de Valencia también sufrió una estafa millonaria y estos últimos meses hemos visto «clonados» por ordenador a famosos presentadores de la televisión española pidiendo inversiones en criptomonedas a través de las redes sociales. «El Institut Municipal de Informática de Barcelona (IMI) también ha sufrido una estafa por phishing de 349.497 euros a través de la suplantación de la identidad de una empresa. Personalmente conozco el caso de un empleado que recibió la llamada de la supuesta propietaria del local en el que trabajaba mientras tenía a la propietaria real al lado. En la estafa del CEO, el caso de Hong Kong es lo más sofisticado que se ha visto hasta ahora, porque se suplanta la identidad y la voz de varias personas e identificar que lo que ves no es real, resulta mucho más difícil que asegurarte de que el correo que has recibido es falso. Ahora más que nunca hay que tener cautela y hacer todas las comprobaciones posibles. Si te llaman pidiéndote una transferencia urgente, devolver la llamada por ejemplo», cuenta Albert Jové, profesor colaborador de los Estudios de Informática, Multimedia y Telecomunicación de la UOC.

222% más ataques

El phishing también se ha sofisticado y los ataques por correo electrónico se consideran uno de los principales vectores de infección. Los delincuentes se sirven de herramientas como WormGPT, FraudGPT y ChaosGPT para hacer daño. «Los ataques por email se dispararon un 222% en 2023», dice el «Informe de Acronis sobre ciberamenazas».

Este informe también indica que Singapur, España y Brasil fueron los países que sufrieron más ataques de malware en el cuarto trimestre de 2023. «Prevemos un aumento de los ataques de phishing, de ataques automatizados, así como de los ataques de phishing basados en códigos QR que eludirá la autenticación multifactor», indica también el texto.

El coste actual del cibercrimen se estima en 8 billones de dólares (si fuese un país ya sería la tercera economía del mundo). Y «para 2025 se espera que la cifra suba hasta los 10.5 billones de dólares. Hay diferentes grupos de atacantes o ciberdelincuentes, como los llamados hacktivistas que tienen motivos políticos y, normalmente, cuentan con el apoyo de algún gobierno (sobre todo China o Rusia) o los ciberatacantes que tienen motivos económicos. Los más activos son los que buscan simplemente dinero y algunos de estos grupos funcionan como verdaderas empresas; hay programadores, recursos humanos, gente especializada en una determinada acción, incluso hay grupos que subcontratan parte del ataque. Sobre todo, realizan ataques con ransomware y lo que les interesa es el robo de datos para pedir un rescate o venderlos en el mercado negro. La IA enriquece a los atacantes. Cada vez será más habitual encontrar fraudes como este, porque en teoría es cada vez más fácil usar estas tecnologías», dice Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Año electoral

Este 2024 es un año histórico en lo que a elecciones se refiere y, en consecuencia, en el volumen de alarmas ante posibles deepfakes que enturbien los procesos electorales. Los ciudadanos de EE UU, México, Bangladesh, India y Pakistán están llamados a votar y los gobiernos se preparan para defenderse de la desinformación. «Los responsables políticos y reguladores desde Bruselas hasta Washington se apresuran a redactar legislación que restrinja el audio, las imágenes y los videos potenciados por IA en la campaña electoral. Sin embargo, la histórica Ley de IA de la Unión Europea no entrará en vigor hasta después de las elecciones parlamentarias de junio. En el Congreso de Estados Unidos, una legislación bipartidista que prohibiría la representación falsa de candidatos federales mediante IA probablemente no se convertirá en ley antes de las elecciones de noviembre», dice The Washington Post en un reportaje.

«Es posible que estemos ante una era de descreimiento digital. La generación de estas noticias falsas ya afectó hace poco a las elecciones de Bangladesh. Muchos gobiernos se han puesto las pilas y han implementado planes anti fake-news, pero creo que será muy difícil parar esta ola, ya que las noticias llamativas tienen una velocidad tremenda en la era de las redes sociales, e incluso grandes medios de comunicación son los responsables de imprimir esta velocidad. En ese sentido, sí que la IA representa una amenaza», afirma Julián Estévez, profesor de Inteligencia Artificial de la Universidad del País Vasco.

¿Es posible protegerse? Los consultados apuntan a que es necesario más inversión en ciberseguridad en las empresas y «más I+D para prevenir ataques futuros. Las empresas muchas veces invierten cuando ya han sido atacadas. También según mejoran las herramientas, mejoran los sistemas de seguridad. Es lo que sucede con la autenticación, por ejemplo. Antes todo se hacía a través de un pin. Ahora tienes sistemas de doble y triple autenticación como el envío de un SMS con una clave. La huella dactilar ya está instalada en muchos sitios y el iris llegará, pero siempre habrá dos o tres niveles de autenticación para comprobar que eres la persona que dices», dice Alejandro Novo de la firma de hacking ético Synack.

También es necesario un cambio de mentalidad y mejorar los procesos de trabajo. «Para protegerte no solo necesitas usar tecnología, también se pueden aplicar protocolos como impedir que sea una persona la única que tome las decisiones dentro de una empresa. Tiene que haber una política de actuación contra los mails sospechosos… Se trata de ir poniendo muros en los correos, en la navegación. Es decir, hay que poner barreras, pero no solo perimetrales sino también dentro de la empresa. Si un usuario solo necesita permisos para acceder a determinados sitios, no darle libertad para acceder a todo. Estamos en un cambio de forma de pensar respecto a la ciberseguridad, porque sin ella ninguna empresa puede realizar su actividad, basado en la protección y la responsabilidad», matiza el directivo de Check Point.

A nivel general, se cree que puede ayudar la creación de estándares de certificación criptográfica, formar y educar al público para que pueda protegerse de la IA generativa y haga un uso responsable de la misma. «A muchas empresas se les ha prohibido emplear ChatGPT. OpenAI puede utilizar todo lo que se escriba en ChatGPT para mejorar el sistema. Lo que las empresas temen es que se facilite información confidencial o sensible al chatbot y que este la comparta involuntariamente con otros usuarios, lo cual representa un grave riesgo de seguridad y privacidad de los datos», comenta Julián Estévez de la Universidad del País Vasco.

Hacking ético

La IA también abre oportunidades para la ciberseguridad. «Con ella se analizan los flujos de tráfico y las vulnerabilidades; te ayuda a cribar las más peligrosas», cuenta Alejandro Novo de Synack. Esta firma se dedica al hacking ético, es decir, a buscar vulnerabilidades en los sistemas informáticos de sus clientes. Cuentan con 1.500-.800 hackers éticos en diferentes países que buscan fallos las 24 horas del día. «También tenemos un servicio para detectar si un software está haciendo un mal uso de los datos y no los mantiene dentro de un repositorio privado. Si usas ChatGPT tienes que asegurarte que la información privada no sale de la empresa. También hacemos pruebas para detectar envenenamientos de datos. Imagina que engañamos a un sistema de IA diciéndole de varias formas que la tierra es plana, cuando se le pregunte si la tierra es plana dirá que sí. Esto es otra vulnerabilidad», comenta.