Securitywatch: los estafadores hacen phishing con deepfakes

Mi familia no me hace muchas preguntas sobre mi trabajo. Están, comprensiblemente, mucho más interesados ​​en los travesuras de mis ratas y mi perro. Pero cuando me preguntan sobre seguridad, la gente siempre quiere saber por qué sucede lo malo. Hay muchas respuestas a esa pregunta, pero a la que siempre vuelvo es simple: dinero.

Ransomware? Dinero fácil para los atacantes. ¿Suplantación de identidad? Nada más que efectivo. ¿Correo no deseado? Todo tipo de formas de monetizar personas haciendo clic en enlaces. Violaciones de datos? Ese material se usa para el fraude y el resto se vende (para ser utilizado para más fraude). ¿Ataques de estado de nación? Claro que hay ideología, pero cuando consideras que las sanciones estadounidenses sin duda jugaron un papel en la motivación de Rusia para atacar las elecciones de 2016, el dinero está en la ecuación. Y eso sin mencionar a los piratas informáticos de los estados nacionales que buscan obtener dinero extra.

No está en esa lista los deepfakes, videos que han sido alterados, generalmente usando tecnología impulsada por IA. Hemos visto rostros de celebridades intercambiados en cuerpos de estrellas porno y rostros y voces de políticos manipulados para que parezcan decir cosas que en realidad no dijeron. A veces se hacen para promover conspiraciones salvajemente inflamatorias; más insidiosos son los momentos en que son manipulados para decir cosas que los espectadores sugestionables pueden tener problemas para distinguir la verdad.

Se ha hablado mucho de las falsificaciones profundas en los últimos meses por temor a que puedan usarse en campañas de desinformación para confundir a los votantes. Eso no ha sucedido a gran escala (todavía), pero las falsificaciones pornográficas ya han dañado a muchas personas. Entonces, ¿por qué llamamos a esto una amenaza emergente? Probablemente porque no había una forma obvia de monetizarlos directamente. Eso cambió esta semana, ya que se informa que se han utilizado deepfakes para forjar a las corporaciones por cientos de miles de dólares.

Nuevas herramientas, la misma vieja estafa

En retrospectiva, debería haberlo visto venir. La ingeniería social, una forma elegante de decir "engañar a la gente", es una herramienta tradicional para violar la seguridad digital o simplemente ganar dinero rápidamente. La adición de deepfakes en el truco es un ajuste perfecto.

El Wall Street Journal informó que algunos atacantes inteligentes crearon un modelo de voz falso que utilizaron para convencer a otro empleado de que estaban hablando con el CEO de la compañía. Luego, el empleado autorizó una transferencia bancaria de unos $ 243, 000. En su propio informe, The Washington Post escribió: "Los investigadores de la firma de ciberseguridad Symantec dijeron que encontraron al menos tres casos de voces de ejecutivos imitadas para estafar a compañías". El recorrido estimado se mide en millones de dólares.

Para mi propia edificación, me senté e intenté rastrear la historia de las falsificaciones profundas. Realmente es un concepto para la era de las noticias falsas, y comenzó a fines de 2017 en un artículo de Vice sobre pornografía con intercambio de caras publicado en Reddit. El primer uso de "deepfakes" fue en realidad el nombre de usuario de la persona que publicó los videos pornográficos que mostraban la cara, pero no el cuerpo, de Gal Gadot, Scarlett Johansson y otros.

En solo unos meses, la preocupación por las falsificaciones se trasladó a la política. Aparecieron videos que engañaban a figuras políticas, y aquí es donde yo (y la mayoría del resto de la comunidad de seguridad) nos quedamos atrapados. A raíz de la desinformación de Rusia durante las elecciones estadounidenses de 2016, la idea de videos falsos casi indistinguibles que inundan el ciclo electoral 2020 fue (y sigue siendo) terrible. También ocupa titulares, y es uno de esos proyectos para el bien público que realmente les gusta a las compañías de seguridad.

Sería negligente si no señalara las limitaciones de los deepfakes. Por un lado, necesita clips de audio de la persona que está tratando de suplantar. Esta es la razón por la cual las celebridades y los políticos en el centro de atención nacional son objetivos obvios para la farsa profunda. Sin embargo, los investigadores ya han demostrado que solo se necesita aproximadamente un minuto de audio para crear una falsificación profunda de audio convincente. Escuchar una llamada de inversionista público, una entrevista de noticias o (que Dios lo ayude) una charla TED probablemente sería más que suficiente.

Además, me pregunto qué tan bien debe funcionar incluso su modelo de deepfake para ser efectivo. Un empleado de bajo nivel, por ejemplo, podría no tener idea de cómo suena el CEO (o incluso cómo se ve), lo que me hace preguntarme si una voz razonablemente creíble y autorizada es suficiente para hacer el trabajo.

Por qué importa el dinero

Los delincuentes son inteligentes. Quieren ganar tanto dinero como puedan, de manera rápida, fácil y con la menor cantidad de riesgo. Cuando alguien descubre una nueva forma de hacer esas cosas, otros lo siguen. El ransomware es un gran ejemplo. El cifrado ha existido durante décadas, pero una vez que los delincuentes comenzaron a usarlo como arma para obtener dinero en efectivo fácilmente, provocó una explosión de ransomware.

El uso de Deepfakes con éxito como herramienta en lo que equivale a un ataque especializado de pesca submarina es prueba de un nuevo concepto. Tal vez no funcione de la misma manera que el ransomware: aún requiere un esfuerzo considerable y funcionan las estafas más simples. Pero los delincuentes han demostrado que las falsificaciones profundas pueden funcionar de esta manera novedosa, por lo que al menos deberíamos esperar más experimentos criminales.

• Cómo proteger las elecciones estadounidenses antes de que sea demasiado tarde Cómo proteger las elecciones estadounidenses antes de que sea demasiado tarde
• Campañas de influencia electoral: demasiado baratas para que los estafadores pasen las campañas de influencia electoral: demasiado baratas para que pasen los estafadores
• Las agencias rusas de Intel son un estofado tóxico de competencia y sabotaje Las agencias rusas de Intel son un estofado tóxico de competencia y sabotaje

En lugar de apuntar a los CEO, los estafadores podrían apuntar a la gente común para pagos más pequeños. No es difícil imaginar a un estafador usando videos publicados en Facebook o Instagram para crear modelos de voz falsos para convencer a las personas de que sus familiares necesitan mucho dinero enviado por transferencia bancaria. O tal vez la próspera industria de llamadas automáticas obtendrá una capa falsa profunda para mayor confusión. Es posible que escuche la voz de un amigo además de ver un número de teléfono familiar. Tampoco hay ninguna razón por la cual estos procesos no puedan automatizarse hasta cierto punto, produciendo modelos de voz y ejecutando guiones preestablecidos.

Nada de esto es para descontar el daño potencial de las falsificaciones profundas en las elecciones, o el dinero inmovilizado en esas operaciones. A medida que los delincuentes se vuelven más expertos con las herramientas de deepfake, y esas herramientas mejoran, es posible que surja un mercado de deepfakes de alquiler. Del mismo modo que los malos pueden pasar tiempo en botnets con fines nefastos, pueden aparecer corporaciones criminales dedicadas a crear falsificaciones profundas por contrato.

Afortunadamente, un incentivo monetario para los malos crea uno para los buenos. El aumento del ransomware condujo a un mejor antimalware para detectar el cifrado malicioso y evitar que se apodere de los sistemas. Ya se está trabajando para detectar deepfakes y, con suerte, esos esfuerzos solo se sobrealimentarán con la llegada del phishing de deepfake. Eso es poco consuelo para las personas que ya han sido estafadas, pero es una buena noticia para el resto de nosotros.