Treasury 
Risk Management 
Payments 
Connectivity 
Working Capital 
Blog 
Libros electrónicos 
Seminarios Web 
Videos 
Fichas informativas 
Historias de éxito 
Value Engineering 
Acerca de Nosotros 
Cultura y valores 
Reconocimiento 
Liderazgo 
Noticias 
Empleo 
Preguntas frecuentes 
Contáctenos 
Blog
Evolución de los fraudes y la amenaza de los deepfakes
La tecnología deepfake se ha dado a conocer durante los últimos años debido a su capacidad sorprendente para engañar a su público destinatario con fotos, vídeo y audio manipulados. El software, que puede ser increíblemente convincente, es cada vez más utilizado en las películas de Hollywood. Sin embargo, los últimos avances en la tecnología suponen una amenaza sustancial para empresas y personas por igual.
En manos de los estafadores, la tecnología deepfake puede crear la ilusión de una transacción legítima. Puede creer que está oyendo al director ejecutivo, al director financiero o al abogado relacionado con una fusión solicitando un pago legítimo. Para cuando la empresa se percata de que ha sido engañada, suele ser demasiado tarde.
A principios del año pasado, la tecnología deepfake se usó en un atraco bancario de 35 millones de dólares en Hong Kong. Un gerente del banco recibió una llamada y varios correos electrónicos procedentes de quien parecía ser un director de empresa con el que había hablado previamente. El director afirmaba que su empresa iba a realizar pronto una transacción y necesitaba una transferencia de 35 millones de dólares para completar el proceso. El gerente del banco, tras reconocer la voz del director y creer que todo era legítimo, accedió y envió el dinero.
Por supuesto, la persona que llamó al gerente del banco y envió los correos electrónicos no era quien decía ser y el dinero fue robado. El robo tiene implicaciones para empresas de todos los tamaños, ya que representa el último paso en la escala evolutiva de una estafa conocida que ha engañado a profesionales financieros bien intencionados para que transfieran millones a las manos equivocadas.
Deepfakes de vídeo y audio
La tecnología deepfake utiliza la inteligencia artificial para combinar imágenes fijas de una persona con metraje de vídeo de otra. Si bien el intercambio de caras en fotos lleva siendo una práctica común durante años mediante Photoshop, la creación de vídeos deepfake es un avance más reciente. Con el tiempo, la tecnología ha mejorado hasta el punto de que, con tan solo unas cuantas fotos, y en algunos casos incluso una, se puede crear un deepfake de vídeo convincente.
«Todo lo que necesitan los delincuentes es cargar un par de imágenes y entrenar un algoritmo para que genere el resultado de cara deepfake», apuntaba Beatriz Saldivar, asesora de pagos y tesorería internacionales de Kyriba. «También existen programas que se pueden obtener con facilidad; todo lo que se necesita es un smartphone o un ordenador portátil. Incluso hay delincuentes de alquiler que, por el precio adecuado, crearán un deepfake de cualquier persona».
El audio deepfake o tecnología «deep voice» también es de reciente desarrollo. De forma muy parecida al vídeo, el software necesita tan solo cinco segundos de audio para poder copiar con éxito la voz de una persona.
El audio deepfake es especialmente preocupante, debido al entorno de ritmo rápido y plazos determinados en el que trabajan la tesorería y las finanzas. Si los procesos no se alinean con una tecnología que pueda proteger a las organizaciones frente al fraude, estas pueden fácilmente cometer el error de enviar un pago basado en instrucciones por audio deepfake.
Evolución del BEC
Tanto en el atraco bancario de 35 millones de dólares como en el robo en 2019 de 243 000 dólares a una empresa energética de RU, los estafadores usaron tecnología de audio deepfake para clonar las voces de directivos de empresa que solicitaban transferencias de dinero. Aunque la tecnología es nueva, estos incidentes son tan solo la última variante del tipo más conocido y común de estafa de correo empresarial comprometido (BEC, por sus siglas en inglés): el clásico fraude del director ejecutivo.
Ambos fraudes eran casi de manual en su ejecución, con indicios reveladores de una clásica estafa de BEC: peticiones urgentes del responsable sénior de una empresa para transferir dinero. Si alguna de estas peticiones se hubiera realizado exclusivamente por correo electrónico, lo más probable es que se hubieran marcado.
Sin embargo, como la víctima de cada una de estas estafas creía que estaba hablando con un contacto que conocía, las dos cayeron en la trampa. Por esa razón esta nueva variante del BEC es tan peligrosa.
Tras varias advertencias del centro de quejas de delitos en Internet del FBI (Internet Crime Complaint Center, IC3) y una cobertura mediática destacada de estos tipos de estafas, los departamentos de tesorería y finanzas se han familiarizado bastante con los indicios reveladores de las estafas de BEC. Sin embargo, a pesar de esta concienciación, las estafas de BEC siguen utilizándose; la 2021 AFP Payments Fraud and Control Survey (encuesta de control y fraudes de pagos de la AFP de 2021) desveló que el BEC fue el origen principal de fraude el año pasado, según el 62 por ciento de los encuestados. «Si bien los líderes de tesorería y finanzas son muy conscientes de lo extendido que está este tipo de fraude, no son capaces de bloquearlo lo suficiente», explicaba la AFP en el informe.
Lo único que cualquier experto le dirá cuando reciba una petición cuestionable de transferencia de dinero por correo electrónico es que debe llamar a su contacto y verificar si la petición es válida. No obstante, si la estafa empieza con el contacto llamándole por teléfono y suena como él al otro lado de la línea, lo más probable es que caiga en la trampa.
El fraude siempre evoluciona. Este último paso en la evolución del BEC puede ser un punto de inflexión. Estos dos incidentes, especialmente el último, demuestran que la tecnología deepfake puede usarse con éxito y aportar enormes beneficios a los delincuentes.
Brad Deflin, director ejecutivo y fundador de Total Digital Security, considera que esto solo incentivará a más delincuentes a probar esta nueva técnica. «Con un beneficio tan grande para los infractores y una tecnología que se vuelve más generalizada y asequible, solo puede esperarse que vaya a más», afirmó. «Es un elemento de ingeniería social: lo que sea necesario para crear cierto nivel de credibilidad y confianza. Solía ser sencillamente un correo electrónico que parecía real. Con eso bastaba. Actualmente puede que la concienciación haya llegado a un punto en que los delincuentes busquen una ruta alternativa de mínima resistencia. Por eso, estas técnicas evolucionarán y usarán los avances tecnológicos para añadir sofisticación a su capacidad para aplicar ingeniería social y aprovecharla».
Sin embargo, es posible que la mayor amenaza aún esté por venir. Si bien las llamadas telefónicas que emplean audio deepfake son convincentes, ¿no lo será incluso más una videollamada por Zoom? El vídeo deepfake puede que no haya llegado aún al punto en el que alguien puede hacerse pasar por otra persona de manera realista en una videollamada, pero es obvio que va a pasar. La tecnología de videollamada actual permite aplicar filtros y fondos semirrealistas… ¿estamos realmente tan lejos de ser capaces de hacer lo mismo con el rostro de una persona real?
Es más, puede que no sea ni necesario. Muchas personas no usan el vídeo en las llamadas de Zoom, especialmente en el mundo posterior al COVID. Si alguien le llama por Zoom y tiene una dirección de correo electrónico convincente, la foto de su cara de LinkedIn en la pantalla durante la llamada de Zoom y una voz familiar, ¿dudaría de que es esa persona? El atraco de 35 millones de dólares fue tan solo la punta del iceberg y es casi una certeza matemática que veremos más intentos de fraude de este tipo.
«La IA se está convirtiendo en una tendencia dominante y los ciberdelincuentes son tristemente los primeros en usar la tecnología de nueva generación», afirmó Deflin. «Las vulnerabilidades de BEC del futuro no se parecerán en nada a las del pasado. La IA elaborará pirateos informáticos que los humanos no pueden llegar a concebir y aquellos que no se hayan preparado no tendrán ninguna capacidad de respuesta».
Cómo evitar el deepfake
Los siguientes consejos pueden ayudar a los profesionales de tesorería y finanzas a identificar deepfakes de audio y vídeo.
- Nunca confíe en una llamada entrante. Un método de eficacia probada que a menudo frustra las estafas de BEC ha sido siempre descolgar el teléfono y llamar a su contacto (con un número que ya tiene registrado para él) para verificar que en realidad ha solicitado que se transfiera el dinero. En este nuevo modelo de amenazas, se siguen aplicando las mismas reglas. Si su contacto le ha llamado por teléfono o le ha invitado a una llamada de Zoom y le ha solicitado una transferencia, sigue siendo buena idea llamarle a continuación a un número que le consta que es legítimo y aclarar la situación.
- Utilice una medida de verificación en la conversación. Un método sencillo pero eficaz para confirmar que está hablando con su contacto real es verificar su identidad durante la llamada. Haga que la otra persona responda a una serie de preguntas o facilite una contraseña que solo su contacto conocerá. De forma parecida a la autenticación de dos factores en ordenador, esta práctica añade una capa adicional de seguridad.
- Utilice herramientas de autenticación. Microsoft ha desarrollado una nueva herramienta que analiza las fotos y los vídeos y proporciona una puntuación de confianza sobre si el material se ha alterado. Puede detectar indicios sutiles que indiquen que una imagen se ha generado artificialmente, como el difuminado o los píxeles de la escala de grises en los bordes donde se ha fusionado el rostro de una persona con el de otra. Por desgracia, puesto que la tecnología deepfake avanza con rapidez, estas herramientas podrían quedarse obsoletas en poco tiempo.
- Optimice los procesos manuales. Beatriz Saldivar de Kyriba recomienda contar con sólidos controles de pago interconectados con tecnología de sonido para evitar el fraude. Cualquier verificación manual fuera de un sistema de ERP o TMS es una exposición de enorme riesgo para cualquier organización de convertirse en el objetivo de los estafadores.
En última instancia, el mejor consejo que pueden seguir los profesionales financieros es aplicar siempre una perspectiva crítica. Si bien no es fácil ser hiperconscientes de las amenazas que nos rodean, eso es precisamente lo que tenemos que hacer en este entorno actual. «Tenemos que ser más conscientes y fomentar un pensamiento crítico en el plano personal», dijo Deflin. «Todo lo que vamos a ver, como la tecnología deepfake, es algo que no hemos visto antes. Por ese motivo, tenemos que preparar a las personas para ver cosas que no han visto antes y que, aun así, tengan cierta capacidad de cuestionarlas y responder a ellas en lugar de limitarse a reaccionar».
