Icono del sitio Lado B

Deepfake, estrategia de engaño cibernético creada con IA

Compártelo

Aunque no a la velocidad que en un principio se creyó, la inteligencia artificial (IA) continúa prosperando entre las industrias tecnológicas. No es sino ver a ChatGPT, el proyecto de OpenAI, que actualmente causa furor en la red con sus destrezas para responder preguntas, crear textos de diversos tipos y hasta construir códigos de software. Los problemas aparecen cuando son los criminales quienes buscan sacar provecho de estas nuevas tecnologías para perpetrar sus actos delictivos.

Fluid Attacks, compañía especializada en pruebas de seguridad continuas e integrales a software, comparte desde su experticia algunas tendencias en el uso de la IA, concepciones sobre lo que es y hace el deepfake, además de recomendaciones en su detección y prevención para individuos y compañías.

Tal como plantea Vladimir Villa, CEO de Fluid Attacks, desde comienzos del 2020 registramos en nuestro blog la tendencia en ciberseguridad del creciente uso de la IA y el machine learning. Planteamos que tanto las organizaciones, para sus estrategias de prevención y defensa, como los delincuentes, para llevar a cabo sus ataques, están usando algoritmos automatizados que les permiten optimizar operaciones. Como ejemplo, desde la postura preventiva, está algo que hacemos en Fluid Attacks: nuestra IA trabaja en base a unos datos que le permiten identificar y reportar a nuestros hackers éticos cuáles son esos archivos que deberían revisar primero en sus pruebas, ya que son los que muestran probabilidades más altas de contener vulnerabilidades de seguridad”.

 

 

Por el lado de la criminalidad, los hackers maliciosos con la IA han ido mejorando y automatizando técnicas de ataque de ingeniería social como el phishing y, precisamente, han ido incursionando en estrategias más complejas y cautivadoras como los llamados deepfakes, que, apenas hace unos pocos años, comienzan a marcar tendencia. Deepfake, según explica Villa, “es un término que tuvo origen en 2017 y, en pocas palabras, se refiere al empleo de IA para crear y modificar contenido de audio y visual con narrativas falsas que parecen provenir de fuentes auténticas y confiables. Si bien fue una práctica que inició con usos recreativos o cómicos, como hacer videos en los que parezca real que un presidente está diciendo cosas ridículas, es cierto que el deepfake ya se está usando para propósitos perversos”.

Por ejemplo, ya han ocurrido casos en los que el deepfake ha permitido a criminales hacerse pasar por directivos de compañías en reuniones virtuales (porque esta tecnología es incluso aplicable en transmisiones en vivo) o a través de mensajes de voz o llamadas para engañar a sus empleados y extraerles información sensible o incitarlos a transferir fondos monetarios. Ya se han visto incidentes en los que los delincuentes solicitan miles e incluso millones de dólares a las víctimas.

El deepfake se desarrolla gracias a “redes neuronales” —algoritmos en cierta medida inspirados en el cerebro humano— que examinan imágenes y sonidos y encuentran patrones necesarios para luego producir material convincente del mismo tipo. Entre más grande sea la base de datos de entrenamiento de dichos algoritmos, más precisos serán estos en su elaboración de deepfakes. Esta tecnología es cada vez de más fácil acceso, incluso para personas con poco conocimiento técnico —tanto así que ya existe el deepfakes-as-a-service—, y lo que es aún más preocupante es que, al parecer, los mecanismos de detección de deepfakes andan algo rezagados.

Mientras investigadores y organizaciones desarrollan y mejoran soluciones para ayudar a reconocer cuándo un video o un audio constituye un deepfake, algunas recomendaciones, como las entregadas a continuación por Fluid Attacks, pueden tenerse en cuenta para prevenir daños por culpa de estos intentos de engaño:

Para un futuro cercano se prevé el aumento de ataques a través de deepfakes, debido especialmente a su fácil acceso y a las optimizaciones que las tecnologías de IA, que sirven como base, reciben constantemente. Mientras no hayan soluciones tecnológicas suficientemente efectivas para su detección, las organizaciones dependerán de estrategias internas como el entrenamiento y controles de seguridad en sus procedimientos como medidas de prevención”, concluye el CEO de Fluid Attacks.


Compártelo
Salir de la versión móvil