Usar herramientas de inteligencia artificial para clonar voces ha introducido un ámbito de riesgo completamente nuevo tanto para las empresas como para las personas.
La inteligencia artificial generativa (IA) se ha convertido en un catalizador para el cambio, introduciendo nuevas formas de hacer negocios, administrar datos, recopilar información y recopilar contenido. Como tecnología inteligente y de gran capacidad, se ha convertido en una poderosa herramienta en la caja de herramientas empresarial, que proporciona análisis, soporte y funcionalidad rápidos.
Sin embargo, el inmenso potencial de la IA generativa está siendo explotado por los ciberdelincuentes, que la han aprovechado con fines maliciosos, como crear falsificaciones profundas convincentes y perpetrar estafas de voz desconcertantemente realistas. En 2019, la tecnología se usó para hacerse pasar por la voz del director ejecutivo de una compañía de energía en el Reino Unido para extorsionar $243,000. En 2021, una empresa de Hong Kong fue defraudada por 35 millones de dólares.
Estos ataques no solo están dirigidos a grandes corporaciones; los individuos también están siendo atacados. Las estafas de clonación de voz, como engaños de secuestro, solicitudes de dinero de amigos o familiares y llamadas de emergencia, son parte de estas estafas que están resultando difíciles de detectar.
“Los estafadores son increíblemente inteligentes”, dice Stephen Osler, cofundador y director de desarrollo comercial de Nclose. “Usando herramientas fácilmente disponibles en línea, los estafadores pueden crear conversaciones realistas que imitan la voz de un individuo específico usando solo unos segundos de audio grabado. Si bien ya han apuntado a personas que realizan compras en plataformas como Gumtree o Bob Shop, además de participar en estafas de secuestros falsos, ahora están ampliando sus operaciones para apuntar a ejecutivos de alto nivel con estafas de C-Suite”.
Es fácil ver el potencial de los ciberdelincuentes considerando la cantidad de personas que usan notas de voz para transmitir rápidamente instrucciones a un miembro del equipo u organizar pagos. Los ejecutivos ocupados a menudo usan plataformas como WhatsApp para enviar mensajes a las personas mientras conducen o se apresuran entre reuniones, lo que dificulta, si no imposibilita, que los empleados reconozcan que el mensaje es falso.
“Un administrador de TI puede recibir una nota de voz de su gerente, solicitando un restablecimiento de contraseña para su acceso a O365”, dice Osler. “Sin darse cuenta de la intención maliciosa, el administrador cumple, pensando que es una instrucción legítima. Sin embargo, en realidad, proporcionan sin querer credenciales privilegiadas a un actor de amenazas. Luego, esta información se puede explotar para obtener acceso no autorizado a la infraestructura comercial crítica y potencialmente implementar ransomware”.
¿Y de dónde vienen estos clips de voz? Bueno, desde notas de voz enviadas a través de plataformas como WhatsApp o Facebook Messenger, publicaciones en redes sociales y llamadas telefónicas. Los estafadores pueden explotar varios métodos, como grabar llamadas con los directores ejecutivos, para crear falsificaciones profundas o extraer muestras de voz de videos o publicaciones de los perfiles en línea de las personas.
Los ciberdelincuentes tienen muchas técnicas a su disposición para capturar la identidad de voz distintiva de cualquiera que haya compartido su vida en línea. Posteriormente, emplean tecnología de inteligencia artificial para manipular estas grabaciones, haciendo que parezca que la persona está hablando en vivo durante la llamada o la nota de voz.
“Este es definitivamente el siguiente nivel de amenazas cibernéticas”, dice Osler. “La tecnología deepfake solo se volverá más competente para engañar a las víctimas y violar las organizaciones. Para defenderse de esto, las organizaciones deben asegurarse de contar con procesos y procedimientos realmente sólidos que requieran múltiples niveles de autenticación, específicamente para transacciones financieras o basadas en autenticación”.
Las empresas deben establecer un proceso formal claramente definido para todas las transacciones. Confiar únicamente en una nota de voz del CIO o CISO no debería ser suficiente para cambiar una contraseña, autenticar una transacción monetaria u otorgar acceso a los piratas informáticos al negocio. Es crucial educar a los empleados y usuarios finales sobre los riesgos en evolución asociados con estas amenazas. Si conocen este tipo de estafa, es más probable que se tomen un momento para verificar la información antes de cometer un error costoso.
“Asegúrese siempre de que cualquier nota de voz o instrucción que reciba provenga de una fuente confiable. Es importante verificar dos veces y confirmar que la comunicación sea efectivamente de la persona prevista”, dice Osler. “Cultive una mentalidad inquisitiva y cuestione la fuente, ya sea una llamada, un correo electrónico o un mensaje. Al hacerlo, tanto las organizaciones como las personas pueden estar mejor preparadas para identificar y protegerse contra posibles estafas de clonación de voz”.