Deepfake: estafa a Ferrari frustrada

Security Awareness
19 agosto 2024
deepfake-ferrari-truffa

¡Cuando el «factor humano» marca la diferencia y ahuyenta a los delincuentes!

Ciertamente, hay que felicitar al directivo de Ferrari que frustró un intento de estafa a la empresa con sede en Maranello, pero, al fin y al cabo, hizo lo que todo el mundo debería hacer: estuvo alerta, se dio cuenta, sospechó y puso en marcha una estratagema muy sencilla que eliminó inmediatamente el riesgo.

Ocurrió un caluroso día de julio.
El gerente recibió varios mensajes en WhatsApp del director general Benedetto Vigna alertándole de una supuesta gran adquisición. Sin embargo, los mensajes procedían de un número desconocido e irreconocible. El motivo era la necesidad de mantener la máxima discreción.

» Prepárate para firmar el acuerdo de confidencialidad que nuestro abogado te enviará lo antes posible. El regulador del mercado italiano y la Bolsa de Milán ya han sido informados. Mantente preparado y, por favor, mantén la máxima discreción».
Ese era el tenor de los mensajes, que iban seguidos de una llamada telefónica con la voz muy realista de Vigna. Incluso con el acento de Basilicata del anuncio. Pero en el sonido de la voz el director notó unos extraños sonidos metálicos, una señal de alarma que, junto con el número desconocido y la foto de perfil diferente, desencadenó la jugada salvadora: una pregunta muy sencilla , fuera de tema y muy amistosa:

«Perdona Benedicto, ¿cuál es el título del libro que me recomendaste?».

Una ducha fría para el delincuente que estaba llevando a cabo la estafa utilizando las últimas técnicas de deepfake. Tan fría que la llamada cesó de inmediato y el hacker abandonó de inmediato su intento de estafa.

El episodio, del que informa Bloomberg, pone de relieve, por una parte, hasta qué punto la herramienta del deepfake es cada vez más utilizada por los hackers, y por otra, cuánto margen hay para defenderse de este tipo de ataque. Tanto porque las técnicas utilizadas por los malhechores aún no son perfectas y, por tanto, pueden reconocerse con un poco de cuidado, como porque bastó una simple estrategia para bloquear un ataque que habría creado mucho daño.

Hablamos de fotos, vídeos y audio creados por un software de inteligencia artificial que, partiendo de contenido real, consigue modificar o recrear los rasgos y movimientos de un rostro o cuerpo e imitar fielmente una voz. Este tipo de ataque se utiliza cada vez más y suele tener éxito en sus intenciones delictivas. Basta pensar en el ataque del pasado febrero a una empresa de Hong Kong que fue estafada con una videoconferencia falsa o en la estafa de los dos cómicos rusos Vovan y Lexus, que asumieron el papel del Presidente de la Comisión de la Unión Africana, Moussa Faki, para telefonear a varios dirigentes europeos.

Lo que más preocupa a los expertos es que esta tecnología, aunque todavía hoy muestra debilidades, en un futuro no muy lejano puede perfeccionarse cada vez más, haciendo casi imposible reconocer las falsificaciones de la realidad. Esto supone un riesgo no sólo para las empresas, sino también para los ciudadanos particulares, que pueden ser engañados fácilmente si se les ataca en el frente de las «emociones». Imagina, por ejemplo, a unos padres que reciben la llamada de un hijo que necesita dinero, o a personas que no son lo bastante astutas tecnológicamente recibiendo llamadas de familiares o amigos en apuros.

Se trata de un riesgo muy elevado para todos y que puede afectar a todos, hasta el punto de que el propio Garante della Privacy ha elaborado una hoja informativa para concienciar a los usuarios de los riesgos asociados al uso malintencionado de esta tecnología y frustrar la temida usurpación de identidad.

Entre los puntos esenciales enumerados por el Garante leemos:

  • Evita la difusión incontrolada de imágenes personales o de tus seres queridos. En particular, si cuelgas fotos en las redes sociales, recuerda que pueden permanecer en línea para siempre o que, aunque más tarde decidas borrarlas, puede que alguien ya se haya apropiado de ellas.
  • Aunque no es fácil, se puede aprender a reconocer un deepfake. Hay elementos que ayudan: la imagen puede parecer pixelada (es decir, algo «granulada»); los ojos de las personas pueden moverse a veces de forma poco natural; la boca puede parecer deformada o demasiado grande mientras la persona dice ciertas cosas; la luz y las sombras de la cara pueden parecer anormales.
  • Si uno tiene la duda de que un vídeo o audio es un deepfake hecho sin el conocimiento de la persona en cuestión, definitivamente debe evitar compartirlo (para no multiplicar el daño a las personas por su difusión incontrolada). Y tal vez uno decida denunciarlo como posible fake a la plataforma que lo aloja (por ejemplo, un medio de comunicación social).
  • Si crees que el deepfake se ha utilizado de forma que se ha cometido una violación de la privacidad, puedes dirigirte a las autoridades policiales (por ejemplo, la Policía Postal) o a la Autoridad de Protección de Datos, según proceda.

En general, la recomendación de mantener la presencia y la conciencia, de no emprender nunca acciones dictadas por la impulsividad y de no confiar nunca ciegamente en nadie, especialmente cuando se reciben peticiones de dinero, sigue siendo siempre válida.
Aunque sea nuestro jefe supremo quien nos escriba, es difícil decir que no. Es mejor comprobarlo siempre llamando a la persona en cuestión y cerciorarse de la autenticidad de la petición.

No son comportamientos difíciles de adoptar, se trata de desarrollar una atención y una sensibilidad que, sin duda, pueden entrenarse mediante una formación eficaz y a medida, en la que es más importante que nunca invertir tiempo y recursos.

Basta un ataque con éxito para arruinar a una empresa tanto económicamente como en términos de reputación.

Este último caso de Ferrari lo demuestra: un directivo con una postura digital adecuada salvó a la empresa de una mala aventura. Una confirmación de que el factor humano, siendo el eslabón más débil de la cadena, sigue siendo el más atacado. Fortalecerlo significa asegurar realmente a las personas y a las empresas.

Artículos relacionados