No te fíes de tu jefe si te envía un audio por WhatsApp. Puede costarle millones a tu empresa
La semana pasada, un emplea‐ do de LastPass recibió un mensaje de WhatsApp del CEO de su empresa. Le pedía infor‐ mación sobre varios temas y también le enviaba notas de voz. La foto que mostraba el perfil era la de su jefe y en los audios se podía apreciar per‐ fectamente también que era la voz de su superior. Sin embar‐ go, algo que le dejó un poco descolocado era que la máxi‐ ma figura jerárquica de la com‐ pañía le hubiera contactado por algo tan informal como es
existiendo otras vías de comunicación. "¿Por qué iba a mandarme
(director ejecutivo de LastPass) un mensaje a mí?", pensó.
Tras varios mensajes, hubo otro detalle que le hizo saltar las alarmas: le estaba metien‐ do mucha prisa para que hicie‐ ra todo lo que le pedía. A los pocos minutos y tras varias consultas con otros emplea‐ dos, llegó a la conclusión de que quien le había estado con‐ tactando por WhatsApp no era
Y mucho menos al‐ guien de su empresa. Era un
que había usado tecnología deepfake pa‐ ra imitar la voz de su jefe e in‐ tentar estafarle. De haber caí‐ do en la trampa, la compañía hubiera vivido una
pues se dedica pre‐ cisamente a la gestión de con‐ traseñas de miles de clientes. La clonación de voz o vídeo mediante inteligencia artificial
WhatsApp, Toubba su CEO. ciberdelincuente financiera, Karim catástrofe
-deepfake, como se le conoce en el mundo de la ciberseguri‐ dad-, es una práctica que va en aumento. Esta tecnología per‐ mite generar audios y vídeos que de otras personas, el problema llega cuando se emplea para
Y recientemente se están dando muchos de estos casos en el mundo laboral y empresarial. El más sonado ocurrió el mes pasado, cuando a otro emplea‐ do de una tecnológica de
le levantaron la brutal cifra de 24 millones de euros. El modus operandi aquí fue mucho más surrealista y ate‐ rrador. Le invitaron a una vi‐ deollamada en la que estaba su jefe y otros empleados de la plantilla. Le saludaban y ha‐ blaban con total normalidad. Todos parecían y sonaban
cometer fraudes y estafas. ng Kong co‐ mo si fueran sus compañeros,
pero resulta que todos los par‐ ticipantes en la llamada eran falsos.
Captura de la estafa por WhatsApp a un empleado de LastPass.
El empleado ya había recibido varios correos electrónicos del "director financiero" de la com‐ pañía solicitándole que transfi‐ riera esa cantidad de dinero. Como le preocupaba que se tratara de una estafa de phishi‐ ng, pidió hacer una
y ahí se convenció de que la solicitud era legítima.
Se trata de una de las mayores estafas fi‐ nancieras con tecnología deepfake hasta la fecha.
"La famosa 'estafa del CEO' lle‐
da, suplantan la identidad videollama‐ se libró del engaño. Ho‐ Ni así
va bastante tiempo rondando, lo que pasa que no con tecno‐ logía deepfake, sino con los emails tradicionales. Ahora, con la evolución digital,
se ha disparado muchísimo la ten‐ dencia
y casos como estos va‐ mos a ver cada vez más. Los
en IA ya per‐ miten a cualquiera replicar la voz de alguien con solo una muestra de audio de unas po‐ cas frases, que se pueden ex‐ traer fácilmente de las redes sociales de la persona en cuestión. Si eres el presidente de una empresa, seguramente habrá vídeos tuyos en internet. Y es algo que está causando pérdidas millonarias", explica Luis Corrons, experto en
y security evangelist de Grupo Gen.
rápidos avances seguridad
"Se ha ordenado el pago de 425 euros". Cómo la declara‐ ción de la es un coladero de estafas
renta ciber‐
Albert Sanchis Notificaciones falsas, mails fraudulentos, SMS sospechosos… los ciber‐ delincuentes están aprove‐ chando la campaña de la de‐ claración de la Renta para lle‐ var a cabo prácticas de 'phis‐ hing' y 'smishing' con el fin de robar
Lo que hace el software es analizar las peculiaridades de la voz
-edad, género o acento-, y busca en una amplia base de registros de voces para encon‐ trar similitudes y predecir pa‐ trones. Luego es capaz de re‐ crear el tono y el timbre de una persona con mucha precisión.
El peligro es que la mayoría de veces es casi imposible distin‐ guirla, y mucho menos cuando quien realiza la llamada lo ha‐ ce con cierto tono de urgencia. Una investigación realizada por la Universidad de Londres sugiere que los humanos solo pueden detectar el de los deepfakes.
Dos personas realizan una vi‐ deollamada a través del orde‐ nador. (Unsplash)
Y más complicado se vuelve para las personas mayores que desconocen estas artima‐ ñas y viven ajenas a las esta‐ fas digitales. El año pasado, una mujer de 73 años, recibió una llamada del que parecía ser su nieto:"Abuela, estoy en la cárcel, sin cartera, sin telé‐ fono. Necesito dinero para la fianza". El timo se realizó usan‐ do un deepfake de audio que imitaba la voz de su nieto mientras se realizaba la llama‐ da. Otro hombre recibió una vi‐ deollamada similar de su mu‐ jer, que le pidió 3.600 euros porque había tenido "un acci‐ dente de coche y tenía que so‐ lucionar la situación con el otro conductor". Claro está, no era su mujer, aunque la cara que aparecía en la pantalla gesticulando y hablando con su mismo tono de voz sí lo pa‐ recía.
Una tendencia que se ha cola‐ do en el mundo laboral La tecnología deepfake lleva boicoteando la vida pública en los últimos meses,
73% poniendo en guardia a muchos gobier‐ nos. Las
imágenes pornográfi‐ cas de Taylor Swift
generadas
por IA se volvieron virales en enero, pero los vídeos falsos en los que un supuesto presi‐ dente Biden pedía a los votan‐ tes de New Hampshire que no votaran iba también un paso más allá. Otras empresas, in‐ cluido el trader de criptomone‐ das Binance, se han topado con estafadores que utilizan recreaciones virtuales de eje‐ cutivos y parece estar funcio‐ nando.
"Un caso curioso fue el de una empresa europea en la que un empleado del departamento fi‐ nanciero recibió un WhatsApp de su CEO diciéndole que te‐ nían una reunión online porque se iba de vacaciones y había que hacer unas operaciones fi‐ nancieras. No cayó en la tram‐ pa porque le extrañó que le hu‐ biera dicho de verse por Goo‐ gle Teams, cuando el equipo siempre se reúne por videolla‐ madas de Slack. Y también porque había hablado con el CEO esa misma mañana y no le había comentado nada al respecto, ni que se iba de va‐ caciones. Se destapó el pas‐ tel", relata Corrons.
Cuidado con la estafa del CEO: caer en la trampa puede ser causa de despido
María Jesús Labarca Una sen‐ tencia ha declarado proceden‐ te la desvinculación de una tra‐ bajadora que cayó en la tram‐ pa de los ciberdelincuentes por "incumplimiento de la nor‐ mativa interna" y otros facto‐ res que consideró la compañía
Aquí en España, sin ir más le‐ jos,
una funcionaria de la EMT fue engañada mediante llama‐ das telefónicas y correos por unos delincuentes chinos, que
se hacían pasar por abogados de una conocida consultora
y por el propio presidente de la EMT y concejal de Transportes del Ayuntamiento de Valencia, Giuseppe Grezzi, para que au‐ torizara unos pagos y transfe‐ rencias. Los autores orquesta‐ ron una red de sociedades ex‐ tranjeras con el fin de ocultar el rastro del dinero.
El problema es que en el mun‐ do empresarial, además de te‐ ner un efecto devastador en sus cuentas, los estafadores pueden extender sus redes pa‐ ra encontrar vulnerabilidades más fácilmente. Antes, los je‐ fes se rompían la cabeza para entrenar a la plantilla a que fuera capaz de detectar co‐
rreos electrónicos de phishing y no pinchar en los enlaces que no toca. Los ciberdelin‐ cuentes simplemente necesi‐ taban que una persona de cientos descargara sin darse cuenta el malware necesario para acceder al sistema. Aho‐ ra, con la IA, los empleados ya no saben si en una llamada de Zoom están hablando con un compañero o no. Se ha instau‐ rado una era de escepticismo. Y no es para menos, esta prác‐ tica fraudulenta ha aumentado un 3000% durante el año pasa‐ do.
"El problema es que antes era complicado que un empleado cayera en el timo de descargar un virus. Ahora, si tienes a tu jefe directo diciéndote que es‐ tá en una reunión importante y que va a hacer tal negocio o tal pedido y necesita que ha‐ gas una transferencia inmedia‐ tamente porque si no, no va a conseguir la compra o el acuerdo,
¿Le vas a decir que no a tu CEO?", señala el exper‐
to.
Un joven se graba a sí mismo con el móvil. (Unsplash) Uno de los obstáculos al que apuntan muchos expertos es que la justicia y las autorida‐ des ahora mismo no cuentan con una para frenar esta lacra. Primero, por‐ que es muy complicado identi‐ ficar al estafador o rastrear lla‐ madas, localizadas por todo el mundo. Y segundo, porque se trata de una tecnología dema‐ siado nueva y no existe sufi‐ ciente jurisprudencia para que los tribunales responsabilicen a las empresas por esto. La policía se ha limitado a ofrecer recomendaciones y pautas a seguir cuando exista duda de estar siendo timado a
regulación sólida
través de un deepfake. Por ejemplo, aconsejan pedirle a los interlocutores que muevan la cabeza, que escriban una palabra o frase en una hoja de papel y la muestre ante la cá‐ mara. Todo lo que pueda ser difícil de replicar de manera convincente en tiempo real. Para el experto,
esto no siem‐ pre puede salvarte,
y más aho‐ ra que la tecnología ha mejora‐ do mucho. Para él, lo más se‐ guro en estos casos es hacer preguntas que puedan confir‐ mar su identidad, algo que só‐ lo tú y la persona sabéis, espe‐ cialmente cuando se trata de solicitudes de transferencia de dinero.
Otra solución en entornos cor‐ porativos es equipar a cada empleado con claves para las reuniones online o las
Algunas plataformas de videoconferen‐ cia ya han empezado a imple‐ mentar
saciones personales. conver‐ funciones de seguri‐ dad capaces de detectar clo‐ naciones,
pero el gran grueso y las más importantes aún no disponen de ellas. De momen‐ to, en esta marea de fraude electrónico, sólo nos queda una cosa: estar al loro.