Deepfakes chungos

Sí, más todavía que el de la faraona…

Estos días se ha hecho viral el anuncio publicitario en el que, mediante la técnica del Deepfake, se ha “resucitado” a la, ahora todavía más, inmortal Lola Flores. A muchos les habrá sorprendido, pero a otros les habrá provocado la sensación incómoda de “eso que parece real pero no acaba de parecerlo del todo”, que te deja un poco con el culo torcido…

A mí, como por otro lado estaréis esperando de la filosofía del blog del Pulpo, esta técnica no acaba de convencerme, me deja frío. Hace poco me  pasó con el final de una serie que no podemos contar para no hacer spoiler, pero digamos que mientras medio mundo flipaba y se emocionaba con la aparición de cierto personaje recreado digitalmente, yo sentía como si me hubieran puesto potón del Pacífico de lata en vez de pulpo gallego fresco (cosa que por otro lado agradecería nuestra querida mascota…).

Es una sensación extraña. Tu cabeza primero se cree que es real, pero enseguida nota algo raro. Es como la pareidolia de las caras de Bélmez pero al revés: La aparición es cuando dejas de creerte lo que estás viendo. Antes de que la cabeza te explote, has pasado de flipar a la indiferencia, y por mucho que lo fuerces, no cuela. Al menos para mí… Digamos que Lola Flores Deepfake es a la verdadera Lola Flores lo que la marca de cervezas anunciada a la verdadera cerveza… (Lo que dice uno en aras del humor, a mí que no me gusta ninguna cerveza…).

De todas formas, todo esto es pecata minuta. De hecho, lo verdaderamente chungo de los Deepfakes es cuando la gente se los cree, y sus intenciones no son precisamente beneficiosas. Y no, no nos referimos a los Deepfake porno, tunantes… (que cada uno interprete esto como quiera). De lo que venimos a hablar en esta entrada es de las vulnerabilidades informáticas a las que nos expone ese tipo de Deepfake malintencionado. Acerca de ello os dejamos con este comentario de la compañía de ciberseguridad Proofpoint:

 

Tecnología 'deepfake': de "resucitar" a Lola Flores a emplearse como técnica de ciberataque

La adopción de tecnologías como la inteligencia artificial (IA) puede aportar grandes dosis de innovación en determinados sectores y profesiones. Es algo que ha quedado más que patente con la apuesta creativa de la agencia publicitaria Ogilvy en el nuevo spot de la cerveza Cruzcampo, donde se ha recreado el rostro, la voz y los gestos de la recordada artista Lola Flores para reivindicar la cultura y la diversidad de Andalucía. Para hacerlo posible se ha empleado la técnica conocida como deepfake, que permite crear audios y vídeos falsos a partir de muestras ya existentes que luego pueden ser manipuladas para unos determinados fines. Como guiño publicitario, funciona y conecta con el público rápidamente que, tras la sorpresa inicial, comprende que se trata de una recreación, pero este uso de la IA puede entrañar también ciertos riesgos de desinformación o fraude entre los usuarios cuando se da en otros contextos.

En el panorama de la ciberseguridad, la IA está facilitando mucho las cosas a los cibercriminales, ayudándoles a crear nuevas amenazas. Si bien la técnica de deepfake aún no se ha implementado de forma generalizada como ciberataque, sí que se reportado su uso en casos de compromiso de correo electrónico corporativo (BEC). El ejemplo más notable hasta la fecha se produjo en 2019 con un deepfake que simulaba un audio del CEO de la filial de una compañía energética británica, mediante el cual los cibercriminales consiguieron defraudar unos 220.000 euros. Desde Proofpoint, empresa de ciberseguridad y cumplimiento normativo, Fernando Anaya, Country Manager, comenta que "dada la rapidez con la que la tecnología deepfake está evolucionando y a medida que los cibercriminales continúan innovando, debe ser tenida más en cuenta por parte de organizaciones y usuarios, especialmente si se demuestra su eficacia. Si la IA se vuelve cada vez más convincente en su capacidad de imitar la comunicación humana, es probable que los ataques de esta naturaleza sean cada vez más comunes".

El uso de la tecnología deepfake como una herramienta más del arsenal de ataques BEC puede ayudar a los atacantes a la hora de conseguir cuantiosas sumas de dinero mediante transferencias fraudulentas. Estos ataques suelen depender en gran medida de la ingeniería social y las comunicaciones por correo electrónico. El principal objetivo de los cibercriminales es convencer a alguien de una organización para que envíe dinero a cuentas bajo su control. Para conseguirlo, los atacantes se hacen pasar por una persona en la que el destinatario confía y solicitan el dinero con urgencia y autoridad para agilizar la transacción, eludiendo asimismo los controles de seguridad habituales. La clave del éxito de estas estafas radica en la confianza que el destinatario deposita en el solicitante y las presiones mediante ingeniería social.

"Añadir un audio o vídeo falsos a esta mezcla puede aumentar la potencia y la efectividad de estos dos factores", apunta Anaya. "También puede abrir canales adicionales para los ataques BEC fuera del correo electrónico como, por ejemplo, las aplicaciones de chat del entorno empresarial. Mediante el deepfake, los atacantes pueden hacer que una solicitud de pago parezca todavía más legítima con una suplantación muy detallada y profunda del presunto solicitante, añadiendo un componente emocional a ese mensaje fraudulento".

Para protegerse frente a estas amenazas, Proofpoint insiste en la necesidad de implementar una estrategia de ciberseguridad centrada en las personas con procedimientos de verificación objetivos que ayuden a identificar adecuadamente a los supuestos solicitantes y confirmar la legitimidad de las solicitudes. "Es sumamente necesario formar a los empleados en las mejores prácticas de ciberseguridad a fin de que comprendan la importancia de pasar por los procesos adecuados para así asegurarse de tener múltiples aprobaciones antes de transferir una suma de dinero, sin importar lo urgente que parezca dicha solicitud", remarca el directivo de Proofpoint.