Deepfake o ultrafalso: La suplantación de identidad más sofisticada

Los ciberdelincuentes han encontrado en esta técnica basada en Deep Learning (Inteligencia Artificial) el modo más efectivo para suplantar la identidad, creando información audiovisual ficticia extremadamente verosímil.

Deep learning + fake = deepfake

Deepfake (en español, ultrafalso) es un término que se forma a partir de la unión de Deep Learning (aprendizaje profundo) y fake (falso). Esta técnica, basada en esta rama learning de la Inteligencia Artificial (IA), usa algoritmos de aprendizaje en la recopilación de imágenes, vídeos y audios para sintetizar un contenido falso, aunque aparentemente genuino. Cuanto mayor cantidad y variedad de información se consiga recopilar acerca de un individuo, más verídico será el resultado obtenido artificialmente.

La suplantación de la identidad de personas, es la más reconocida. Aunque este tipo de contenido sintético ha llegado a falsear la marca de grandes corporaciones, obras de arte o documentales; sobre todo genera un impacto directo en los medios alcanzando de lleno a los ámbitos periodístico (periodistas ficticios), político o del entretenimiento.

Deepfake para todos

Como suele ocurrir, lo que antes era muy difícil y costoso de hacer, técnicamente hablando, en la actualidad tiende a democratizarse para estar pronto al alcance de cualquiera. Cada vez es más fácil de implementar y progresivamente van apareciendo aplicaciones que permiten crear deepfakes con poco conocimiento y sin prácticamente ninguna intervención.

Es por tanto, una aplicación avanzada del aprendizaje basado en inteligencia artificial para crear imágenes manipuladas de modo que parezcan originales y auténticas.

Una ciberamenaza a considerar

Hace ya algún tiempo que los informes de ciberamenazas y tendencias más relevantes vienen alertando sobre este nuevo reto para la ciberseguridad.

De igual forma que se está utilizando esta técnica en el mundo del marketing haciendo buen uso de ella, los ciberdelincuentes también pueden usarla con fines fraudulentos para atacar a empresas o personas de infinitas maneras, así como para confundir a la población con noticias falsas, siendo la protección especialmente compleja porque depende, en gran medida, del factor humano y de los niveles de concienciación.

En este sentido, el catálogo de técnicas de ingeniera social de las que puede valerse un atacante se ha visto incrementado y, en consecuencia, tenemos que aprender a protegernos.

Pongamos un ejemplo

Se han detectado numerosas campañas de desinformación en el espacio político basadas en deepfake y noticias falsas, y también estafas como la que sufrió el año pasado una filial británica de una empresa energética alemana, que realizó una transferencia de 220.000 euros a una cuenta bancaria en Hungría después de que un ciberdelincuente llamase con una imitación de la voz del director general para ordenar dicho pago.

¿Cómo lo combatimos?

Este nuevo tipo de amenaza evoluciona a un ritmo vertiginoso, de la mano de la propia tecnología y, si no se mejoran los medios para su control y detección, puede convertirse en un serio problema a nivel global.

En la actualidad, se trabaja a un ritmo acelerado para desarrollar las tecnologías que nos permitan combatir este tipo de ataques. Facebook y la Universidad Estatal de Michigan anunciaron, en un artículo publicado en Facebook AI, que están trabajando en un proyecto de investigación para detectar y rastrear deepfakes basándose en ingeniería inversa que les permitirá identificar patrones a partir de una imagen sintética simple.

Mientras tanto y en espera de contar con la mejor defensa, debemos trabajar en los siguientes factores para robustecer la seguridad en nuestras organizaciones:

Estrategia

Disponer de una estrategia de ciberseguridad y planes de mejora es fundamental para garantizar la integridad de la información, así como para saber cómo actuar frente a cualquier amenaza que se pudiera materializar en un incidente de seguridad.

Esta estrategia se puede basar en cualquier marco de seguridad existente que esté ampliamente aceptado, como por ejemplo el estándar ISO 27001, Esquema Nacional de Seguridad (ENS) o NIST CSF.

Procedimiento

Seguimiento de los procedimientos establecidos. Aún cuando el tiempo apremia y se recibe una petición con una llamada urgente a la acción. Es vital no improvisar ni atajar saltándose los controles establecidos en la organización ante situaciones en las que el sentido común nos puede estar dictando que hay algo raro en lo que percibimos.

Imaginemos que el responsable financiero de una empresa recibe la llamada del CEO indicando que hay que hacer una transferencia inmediatamente, por el motivo que sea, pero este tipo de peticiones no suelen llegar por esa vía de comunicación y no se han seguido los protocolos habituales para hacer la solicitud. Aunque la persona que supuestamente ha entrado en contacto tiene una relación de confianza y jerarquía establecida con nosotros, lo más seguro siempre será reconducir la situación a través de su cauce oficial.

Concienciación

Debemos tener en cuenta que el hackeo humano sigue siendo uno de los vectores de ataque preferidos de los ciberdelincuentes y es precisamente el que se explota con este tipo de amenazas.

Esta técnica es bastante desconocida para los usuarios de nuestras organizaciones, por eso es importante que sepan de su existencia y que estén bien formados para evitar ser víctimas.

De igual forma que hemos enseñado a nuestros usuarios a protegerse frente a ataques de phishing o vishing, también se pueden seguir una serie de recomendaciones para saber detectar a tiempo un ataque basado en deepfake (encontrar fallos, corta duración, atención a los detalles, el origen de la grabación, etc.).

Siguiendo los consejos del FBI

En marzo, el FBI publicó una notificación en la que alertaba sobre la proliferación en los próximos meses de este tipo de amenazas y aportaba consejos para detectar contenido sintético y deepfakes.

Entre sus tips para identificarlos, el FBI apunta a «pistas» visuales como las distorsiones, las deformaciones o las incoherencias en las imágenes y los vídeos. Por ejemplo, el espaciado y la colocación de los ojos es un indicador de contenido sintético, también lo son los problemas de sincronización entre la cara y el movimiento de los labios.

Además de otros consejos, la institución federal anima al usuario a aplicar la metodología SIFT (Stop–Investigate–Find–Trace) que consiste en: detenerse, investigar la fuente, encontrar la fuente de confianza y rastrear el contenido original al consumir información online.