A medida que los ataques Deep Fake a empresas dominan los titulares de las noticias, los expertos en detección están recopilando información valiosa sobre cómo surgen estos ataques y las vulnerabilidades que explotan.
Entre 2023 y 2024, las frecuentes campañas de phishing e ingeniería social provocaron secuestro de cuentas y robo de activos y datos, robo de identidad y daños a la reputación de empresas de todos los sectores.
Los centros de llamadas de los principales bancos e instituciones financieras ahora están abrumados por una avalancha de llamadas falsas que utilizan tecnología de clonación de voz en un esfuerzo por ingresar a las cuentas de los clientes e iniciar transacciones fraudulentas.
Los servicios de asistencia técnica y el personal internos también se han visto inundados con campañas de ingeniería social a través de llamadas y mensajes, a menudo con éxito, como fue el caso del ataque a la empresa desarrolladora de software interno Retool, que provocó decenas de millones de dólares en pérdidas para los clientes de la empresa. Un trabajador financiero fue engañado para que transfiriera fondos a estafadores. Tras el ataque de phishing de Retool, solo uno de los clientes de criptomonedas de la empresa perdió 15 millones de dólares en activos.
La barrera de entrada para los delincuentes ahora está más baja que nunca. Las herramientas que permiten la creación de Deep Fakes son más baratas y accesibles, lo que brinda incluso a los usuarios sin conocimientos técnicos la oportunidad de diseñar sofisticadas campañas de fraude impulsadas por la IA.
Dada la creciente proliferación y los métodos utilizados por los ciberdelincuentes, la detección en tiempo real que aproveche la IA para detectarla será esencial para proteger los intereses financieros y de reputación de las empresas.
Deep Fakes en todas las modalidades
Un Deep Fake es un medio sintético (una imagen, vídeo, audio o texto) que parece auténtico, pero que ha sido creado o manipulado con modelos generativos de IA.
El audio Deep Fake se refiere al sonido generado sintéticamente que ha sido creado o alterado utilizando modelos de aprendizaje profundo. Un método común detrás del audio Deep Fake es la clonación de voz, que implica discursos falsos creados con menos de un minuto de muestras de voz de personas reales. La clonación de voz es una preocupación particular en las industrias que utilizan la verificación biométrica de voz para acceder a las cuentas de los clientes. Las empresas que reciben un gran volumen de llamadas telefónicas como parte de su negocio informan constantes ataques Deep Fake a su infraestructura mediante esfuerzos de clonación de voz.
La creación de un video Deep Fake generalmente implica entrenar una red neuronal profunda en un gran conjunto de datos de videos e imágenes que presentan a los individuos objetivo. El modelo aprende sus rasgos faciales, expresiones y gestos, lo que le permite generar nuevo contenido de vídeo que parece auténtico. Los ciberdelincuentes utilizan vídeos Deep Fake para hacerse pasar por ejecutivos, eludir la verificación biométrica y crear publicidad falsa, entre muchos otros usos.
Mientras tanto, las imágenes Deep Fake se pueden utilizar para alterar documentos y eludir los esfuerzos de los equipos de Conozca a su Cliente (KYC) y Anti-Lavado de Dinero (AML) para frenar la creación de cuentas con identidades falsas.
El texto Deep Fake se refiere a contenido generado artificialmente destinado a imitar el estilo, la estructura y el tono de la escritura humana. Estos modelos Deep Fake se entrenan en grandes conjuntos de datos de texto para aprender patrones y relaciones entre palabras, enseñándoles a generar oraciones que parecen coherentes y contextualmente relevantes. Estos Deep Fakes ayudan a los ciberdelincuentes en ataques de phishing y ingeniería social a gran escala al producir volúmenes masivos de texto convincente, y son igualmente útiles en la falsificación de documentos.
El impacto de los Deep Fakes en todas las industrias
Los Deep Fakes de audio son uno de los mayores factores de riesgo para las empresas modernas, especialmente las instituciones financieras. Los centros de llamadas bancarios están cada vez más inundados de llamadas clonadas de voz falsasllamadas clonadas de voz falsas que intentan acceder a las cuentas de los clientes, y el fraude impulsado por la IA se ha convertido en la principal preocupación de seguridad para la mayoría de los bancos, ya que los estafadores envían documentos alterados por la IA para abrir cuentas falsas.
Pero el daño causado por el cibercrimen Deep Fake va mucho más allá de la clonación de voz y puede afectar a cualquier industria. Las compañías de seguros se enfrentan a pérdidas importantes a medida que los estafadores presentan pruebas falsas de reclamaciones ilegítimas. Los competidores pueden crear testimonios de clientes falsos o vídeos e imágenes falsos de un producto supuestamente defectuoso para dañar una marca. Si bien el costo promedio de crear un Deep Fake es de 1,33 dólares, el costo global esperado del fraude de Deep Fake en 2024 es de un trillón de dólares.
Los Deep Fakes son una amenaza para los mercados y la economía en general: el Deep Fake de una explosión en el Pentágono provocó pánico en el mercado de valores antes de que los funcionarios pudieran desmentirlo. Un ataque más sofisticado podría fácilmente provocar pérdidas masivas en el valor de las empresas y daños a las economías globales.
Para las empresas de medios, el daño a la reputación causado por los Deep Fakes puede conducir rápidamente a una pérdida de espectadores e ingresos publicitarios. En un momento en el que el público ya se muestra escéptico respecto a todo el contenido que encuentra, los Deep Fakes aumentan las apuestas para obtener informes y verificación de hechos precisos. Si se descubre que un medio audiovisual que sirve de base o evidencia para una noticia es Deep Fake, no verificado ni etiquetado, el daño a la redacción y a la relación de la empresa con su audiencia podría ser irreparable.
Las plataformas de redes sociales son igualmente vulnerables, especialmente porque se han convertido en la principal fuente de noticias para la mayoría de los ciudadanos. Los actores maliciosos gastan apenas 7 centavos para llegar a 100.000 usuarios de redes sociales con un Deep Fake armado. Permitir la difusión incontrolada de noticias manipuladas por la IA puede provocar graves pérdidas de audiencia y anunciantes y malestar entre los accionistas, sin mencionar los efectos corrosivos sobre la sociedad en general.
Las campañas de desinformación Deep Fake pueden afectar la integridad de las elecciones, provocando malestar cívico y caos dentro de las instituciones gubernamentales. Este malestar puede sacudir los mercados, debilitar la economía y erosionar la confianza entre los votantes y el sistema electoral. Más de 40.000 votantes se vieron afectados por la llamada automática falsa de Biden en New Hampshire. Pero estas campañas no se limitan a las elecciones. Los actores patrocinados por el Estado pueden crear vídeos sintéticos de líderes que hacen afirmaciones falsas para dañar las relaciones diplomáticas y comerciales, incitar conflictos y manipular las acciones. El Informe de Riesgos Globales 2024 del Foro Económico Mundial clasifica la desinformación impulsada por la IA como la amenaza número uno que enfrentará el mundo en los próximos dos años.
Soluciones de detección de Deep Fake
¿Cómo combaten las organizaciones esta amenaza urgente? Todo se reduce a la detección.
La capacidad de detectar voces, vídeos, imágenes y textos generados por IA (de forma precisa, rápida y a escala) puede ayudar a las organizaciones a adelantarse a los actores de amenazas que intentan utilizar Deep Fakes para ejecutar sus campañas de fraude o desinformación.
Quienes trabajan para proteger los centros de llamadas, los equipos de atención al cliente y los servicios de asistencia internos querrán buscar una solución que pueda detectar voces generadas por IA en tiempo real. Dado que estos puntos de contacto son altamente vulnerables y susceptibles al fraude, la detección de voz profunda en tiempo real debería encajar perfectamente en los flujos de trabajo de plataformas biométricas o de autenticación de voz existentes, permitiendo a las empresas una integración perfecta sin volver a capacitar a los empleados en una pila tecnológica completamente nueva.
Uno de cada seis bancos lucha por identificar a sus clientes en cualquier etapa del recorrido del cliente, y los trabajadores financieros citaron la incorporación de clientes como el proceso de flujo de trabajo más vulnerable al fraude. Los detectores de texto e imágenes son un poderoso elemento disuasivo contra la falsificación de documentos, el robo de identidad y los esfuerzos de phishing. Un conjunto completo de herramientas de detección de Deep Fake debería fortalecer el flujo de incorporación y reautenticación de los equipos KYC y antifraude para defenderse contra ataques de presentación e inyección.
Los periodistas deben sentirse capacitados para informar sobre las noticias con la confianza de que sus fuentes son auténticas. Los modelos de detección de imágenes, vídeos y texto ayudan a garantizar que los periodistas no consideren pruebas falsas en informes legítimos. El 53% de los estadounidenses obtienen noticias a través de las redes sociales. Una solución de detección bien equipada debería ayudar a los equipos de moderación de contenido (de quienes no se puede esperar que verifiquen una avalancha de contenido a escala) a proteger las plataformas de redes sociales para que no se conviertan en canales involuntarios de contenido falso.
Se han creado sofisticadas herramientas de detección de audio Deep Fake para detectar la herramienta popular más nueva de manipulación política: llamadas automáticas engañosas que utilizan clones de voz de candidatos políticos. Los atacantes patrocinados por el Estado ahora pueden hacerse pasar fácilmente por jefes de Estado y otras figuras políticas. Las soluciones de detección actuales pueden detectar suplantaciones sintetizadas en momentos críticos, garantizando que se pueda advertir al público. La detección de texto ayuda a las instituciones gubernamentales a detectar documentos y comunicaciones dañinos generados por IA para ayudar a prevenir la identidad y el fraude antes de que puedan afectar las vidas y los medios de subsistencia de los ciudadanos.
Reality Defender es una de esas soluciones para detectar y proteger contra Deep Fakes avanzados de todos los medios. Su API independiente de la plataforma permite a las organizaciones cargar una gran cantidad de contenido y escalar capacidades de detección bajo demanda, utilizando un enfoque multimodelo para observar cada archivo cargado desde múltiples ángulos y con los modelos de creación de Deep Fake más nuevos en mente. Esto crea una puntuación de resultado más completa y sólida, que refleja la probabilidad de manipulación de la IA. Con múltiples modelos en múltiples modalidades, las organizaciones pueden tomar los siguientes pasos informados y basados en datos para proteger a sus clientes, activos y reputaciones de complejos ataques Deep Fake de hoy y del mañana.
Fuente: SecurityIntelligence