El fraude del CEO: fake news y deepfake en el ámbito empresarial

Las fake news (noticias falsas o bulos) son una de las principales amenazas que los CISO deberían tener en su radar por el riesgo que suponen como herramienta para atacar la reputación de las empresas y sus ejecutivos.

Y, como la tecnología no descansa, podríamos decir no solo que su pronóstico se ha cumplido, sino que lo hemos visto evolucionar al deepfake.

De la fake news al deepfake

El deepfake es como el “ultrafalso”. Se trata de una herramienta que va un paso aún más allá que las fake news para erosionar la reputación. Tiene su origen en el ámbito político pero, debido a su poder de manipulación y sus efectos, se está trasladando al mundo empresarial, en el que impactará con pérdidas millonarias.

La “zona cero” de las fake news varía según los distintos medios, pero personalmente creo que el punto de inflexión por el impacto político que tuvo fue el 23 de mayo de 2019. Tan solo dos meses después de la entrevista en este blog a la que me refería al comienzo, el presidente del gobierno de los Estados Unidos, Donald Trump, viralizaba un vídeo de Nancy Pelosi, presidenta de la Cámara de representantes, en el que podría dar la sensación de estar en estado de embriaguez. Este vídeo que el propio presidente viralizó estaba manipulado. Según un perito informático, en él se reducía la velocidad hasta en un 75 por ciento con el fin de trasmitir una “comunicación entorpecida” que menospreciaba a la protagonista.­­

¿Qué es exactamente el deepfake?

A lo largo del año pasado vimos cómo comenzaba a aparecer en titulares el deepfake, que básicamente es un modelo de aprendizaje automático que se utiliza para crear audio y vídeo realista pero falso o manipulado. Los primeros ejemplos de deepfake que pudimos ver eran, sobre todo, caras superpuestas sobre personajes famosos o de cierta reputación.

Para que os hagáis una idea del proceso, por un lado se cargan cientos de fotos de la persona sobre la que se hace el truco y, por otro, cientos de fotos o vídeos de la que suplanta a la anterior, y después se procesan. Cuantas más fotos y vídeos, mejor calidad, y cuanta mayor calidad, el coste computacional de procesamiento crece. He hecho la prueba: un vídeo deepfake de 45 segundos, con unas 100 fotos de cada personaje, supone un procesamiento de cinco horas de un portátil estándar.

La calidad resultante es de bastante baja calidad y se puede distinguir razonablemente como ilegítimo, pero nos sirve para entender el potencial impacto que esta nueva tecnología podría tener en nuestra capacidad de discernir los hechos de la ficción.

Hasta la fecha, la mayor parte de la deepfake se ha centrado en su potencial para campañas de desinformación y manipulación masiva, alimentadas a través de las redes sociales. Pero dicha tecnología no solo se centra en la suplantación de caras en vídeos, sino que también emplea cambios de voz, lo que permite que se pueda poner cualquier cosa en boca de cualquier persona.

Pero ya no solo eso… Imaginad la combinación de las deepfakes con uno de los métodos de ataque más conocido: el spearphishing, que básicamente consiste en ataques dirigidos a empleados de alto nivel para tratar de engañarlos para la realización de una tarea. La finalidad, por ejemplo, podría ser el pago de una factura falsa, el envío de un documento confidencial o la concesión de credenciales a un usuario. Este tipo de ataque de ciberseguridad resulta más difícil de detectar desde una perspectiva tecnológica, ya que el correo electrónico que lo desencadena no suele contener enlaces o archivos adjuntos sospechosos.

El fraude del CEO 2.0

Deepfake tiene la capacidad de sobrealimentar estos ataques y puede generar el fraude del CEO 2.0, que ya incluso ha salido en los medios. Imaginad que recibís un correo electrónico del CEO de vuestra compañía en el que os pide vuestra participación en alguna acción financiera (normalmente se trata de un ataque dirigido a gente de menor rango, pero con pocos grados de separación); después os llega un mensaje de texto del número móvil del CEO y, finalmente, un correo con una nota de voz del CEO, que hace referencia a las comunicaciones anteriores. Llega un momento en el que el ataque rompe la barrera de la verdad y el receptor acepta la solicitud como real y auténtica. Tras la insistencia y oír su propia voz, el empleado no considera la posibilidad de que la orden del CEO sea falsa ni se le pasa por la cabeza desautorizarlo.

Estoy convencido de que conforme avance la tecnología deepfake y dispongamos de equipamiento más potente podremos llegar a ver videollamadas con quien creemos que es nuestro CEO pero que, en realidad, será un vídeo falso creado en tiempo real. 

El remedio: "Zero Trust"

Esta amenaza en el horizonte genera un nuevo frente que requiere que la ciberseguridad deba evolucionar también. Actualmente no hay un escudo efectivo para defenderse del deepfake, si bien ya se están haciendo progresos, como el Deepfake detection challenge. Recientemente Twitter también ha anunciado que tomará medidas. De momento, el único remedio es la concienciación, el espíritu crítico y educación por parte de los usuarios frente a estos nuevos tipos de ataques. Habrá que estar alerta ante cualquier comportamiento sospechoso o fuera de lugar por parte del destinatario, por mínima que sea la sospecha. Es el “Zero Trust” como mantra en ciberseguridad.

Foto de Ordenador creado por freepik – www.freepik.es

Profesional en Tecnologías de la seguridad y Ciberseguridad. Apasionado de los MOOC y la autoformación. Salir de mi zona de confort es lo que me mantiene dentro de ella.

Soluciones y Sectores

Te puede interesar

Conoce toda nuestra Propuesta de Valor para Grandes Clientes

Para tu conectividad

Somos líderes en tecnologías de conectividad, contamos con un potente ecosistema de alianzas, conocemos al 100% los procesos y aplicamos las tecnologías a las necesidades de cualquier sector.

Para tu nube

Todas las ventajas que el Cloud puede aportar a tu negocio: Soluciones de los principales proveedores y puesta en marcha por equipos profesionales de primer nivel.

Para tu Ciberseguridad y Seguridad Tecnológica

Somos conscientes de que es esencial dotar a las empresas de los recursos necesarios para hacer frente a los riesgos de seguridad que pongan en peligro su negocio y su reputación.

Para tus Procesos

Desde Telefónica Empresas, te ayudamos a conocer, reducir y controlar tus procesos, generar eficiencias y optimizar operaciones, garantizando la permanencia de tu negocio.

Para tus Clientes

Conectar con tus clientes es básico para la pervivencia de tu negocio. Te ofrecemos todo tipo de soluciones (CRM, Asistentes virtuales, Espacios inteligentes, líneas 900…)

Para tus Empleados

La propuesta de Telefónica Empresas incluye todas las herramientas que tus empleados necesitan para trabajar con la mejor experiencia de usuario. Porque retener el talento es básico.

Consultoría e innovación tecnológica

Toda nuestra experiencia de transformación e innovación a tu alcance. Porque en Telefónica Empresas contamos con un equipo con experiencia tanto en proyectos internos de la compañía, como con clientes de distintos sectores y tamaños.

Ir arriba