En enero de 2024, un empleado de finanzas de una multinacional con sede en Hong Kong recibió un correo electrónico aparentemente legítimo del director financiero de la empresa en el Reino Unido. El correo solicitaba realizar transacciones confidenciales, lo cual resultaba sospechoso. Sin embargo, una videollamada con varias personas en altos cargos dentro de la organización disipó las dudas del empleado, quien procedió a realizar 15 pagos por un total de 200 millones de dólares de Hong Kong (aproximadamente 25,6 millones de dólares estadounidenses) a cinco cuentas bancarias locales.
Poco después, al comunicar estas transacciones a la oficina central, se descubrió que el director financiero nunca había solicitado dichas transferencias y que los participantes en la videollamada ni siquiera eran reales. Todo había sido una elaborada estafa llevada a cabo por un ciberdelincuente. Según el superintendente jefe de la policía, Baron Chan Shun-ching, el estafador probablemente descargó videos con antelación y utilizó inteligencia artificial para añadir voces falsas en la videoconferencia.
Este caso es solo uno de los al menos 20 incidentes en los que la policía de Hong Kong ha detectado el uso de deepfakes generados por aprendizaje automático para llevar a cabo estafas financieras. Expertos en seguridad, como Todd Wade y Luke Secrist, han advertido que la sofisticación de estos ataques está aumentando, con el uso de tecnologías cada vez más avanzadas y difíciles de detectar.
La inteligencia artificial juega un papel crucial en este tipo de estafas, ya que permite crear deepfakes que pueden eludir las defensas tradicionales y explotar la vulnerabilidad humana. La capacidad de los deepfakes para imitar a la perfección a personas conocidas, incluso con solo unos segundos de material de audio o video, plantea un riesgo significativo, ya que los ciberdelincuentes pueden utilizar esta tecnología para manipular a sus víctimas de manera efectiva.
Los expertos subrayan la importancia de educar al público y a las organizaciones sobre estos nuevos riesgos. En entornos corporativos, se recomienda establecer protocolos de seguridad más rigurosos, como verificar las solicitudes inusuales mediante otros canales o usar palabras clave para autenticar las identidades de los interlocutores. A medida que los deepfakes se vuelven más comunes, la conciencia y la preparación serán clave para mitigar el impacto de estos ataques.
Nick Biasini, jefe de divulgación de Cisco Talos:
"La ingeniería social está tomando una parte cada vez mayor de este panorama. Estamos empezando a ver cada vez más actores de amenazas que no son necesariamente técnicamente sofisticados, pero que son buenos manipulando a la gente. Por eso tienen tanto éxito. Tienen mucho dinero. Y cuando tienes dinero, puedes añadir mucha sofisticación a tus trampas".
Biasini está de acuerdo en que el conocimiento es la mejor forma de derrotar la amenaza deepfake, al menos hasta que la tecnología de autenticación encuentre una forma de distinguir las identidades reales de las falsas. “Cuando encontremos este tipo de actividad, nos aseguraremos de que salga a la luz”, afirma.