El Confidencial

No te fíes de tu jefe si te envía un audio por WhatsApp. Puede costarle millones a tu empresa

La semana pasada, un emplea‐ do de LastPass recibió un mensaje de WhatsApp del CEO de su empresa. Le pedía infor‐ mación sobre varios temas y también le enviaba notas de voz. La foto que mostraba el perfil era la de su jefe y en los audios se podía apreciar per‐ fectamente también que era la voz de su superior. Sin embar‐ go, algo que le dejó un poco descolocad­o era que la máxi‐ ma figura jerárquica de la com‐ pañía le hubiera contactado por algo tan informal como es

existiendo otras vías de comunicaci­ón. "¿Por qué iba a mandarme

(director ejecutivo de LastPass) un mensaje a mí?", pensó.

Tras varios mensajes, hubo otro detalle que le hizo saltar las alarmas: le estaba metien‐ do mucha prisa para que hicie‐ ra todo lo que le pedía. A los pocos minutos y tras varias consultas con otros emplea‐ dos, llegó a la conclusión de que quien le había estado con‐ tactando por WhatsApp no era

Y mucho menos al‐ guien de su empresa. Era un

que había usado tecnología deepfake pa‐ ra imitar la voz de su jefe e in‐ tentar estafarle. De haber caí‐ do en la trampa, la compañía hubiera vivido una

pues se dedica pre‐ cisamente a la gestión de con‐ traseñas de miles de clientes. La clonación de voz o vídeo mediante inteligenc­ia artificial

WhatsApp, Toubba su CEO. ciberdelin­cuente financiera, Karim catástrofe

-deepfake, como se le conoce en el mundo de la cibersegur­i‐ dad-, es una práctica que va en aumento. Esta tecnología per‐ mite generar audios y vídeos que de otras personas, el problema llega cuando se emplea para

Y recienteme­nte se están dando muchos de estos casos en el mundo laboral y empresaria­l. El más sonado ocurrió el mes pasado, cuando a otro emplea‐ do de una tecnológic­a de

le levantaron la brutal cifra de 24 millones de euros. El modus operandi aquí fue mucho más surrealist­a y ate‐ rrador. Le invitaron a una vi‐ deollamada en la que estaba su jefe y otros empleados de la plantilla. Le saludaban y ha‐ blaban con total normalidad. Todos parecían y sonaban

cometer fraudes y estafas. ng Kong co‐ mo si fueran sus compañeros,

pero resulta que todos los par‐ ticipantes en la llamada eran falsos.

Captura de la estafa por WhatsApp a un empleado de LastPass.

El empleado ya había recibido varios correos electrónic­os del "director financiero" de la com‐ pañía solicitánd­ole que transfi‐ riera esa cantidad de dinero. Como le preocupaba que se tratara de una estafa de phishi‐ ng, pidió hacer una

y ahí se convenció de que la solicitud era legítima.

Se trata de una de las mayores estafas fi‐ nancieras con tecnología deepfake hasta la fecha.

"La famosa 'estafa del CEO' lle‐

da, suplantan la identidad videollama‐ se libró del engaño. Ho‐ Ni así

va bastante tiempo rondando, lo que pasa que no con tecno‐ logía deepfake, sino con los emails tradiciona­les. Ahora, con la evolución digital,

se ha disparado muchísimo la ten‐ dencia

y casos como estos va‐ mos a ver cada vez más. Los

en IA ya per‐ miten a cualquiera replicar la voz de alguien con solo una muestra de audio de unas po‐ cas frases, que se pueden ex‐ traer fácilmente de las redes sociales de la persona en cuestión. Si eres el presidente de una empresa, segurament­e habrá vídeos tuyos en internet. Y es algo que está causando pérdidas millonaria­s", explica Luis Corrons, experto en

y security evangelist de Grupo Gen.

rápidos avances seguridad

"Se ha ordenado el pago de 425 euros". Cómo la declara‐ ción de la es un coladero de estafas

renta ciber‐

Albert Sanchis Notificaci­ones falsas, mails fraudulent­os, SMS sospechoso­s… los ciber‐ delincuent­es están aprove‐ chando la campaña de la de‐ claración de la Renta para lle‐ var a cabo prácticas de 'phis‐ hing' y 'smishing' con el fin de robar

Lo que hace el software es analizar las peculiarid­ades de la voz

-edad, género o acento-, y busca en una amplia base de registros de voces para encon‐ trar similitude­s y predecir pa‐ trones. Luego es capaz de re‐ crear el tono y el timbre de una persona con mucha precisión.

El peligro es que la mayoría de veces es casi imposible distin‐ guirla, y mucho menos cuando quien realiza la llamada lo ha‐ ce con cierto tono de urgencia. Una investigac­ión realizada por la Universida­d de Londres sugiere que los humanos solo pueden detectar el de los deepfakes.

Dos personas realizan una vi‐ deollamada a través del orde‐ nador. (Unsplash)

Y más complicado se vuelve para las personas mayores que desconocen estas artima‐ ñas y viven ajenas a las esta‐ fas digitales. El año pasado, una mujer de 73 años, recibió una llamada del que parecía ser su nieto:"Abuela, estoy en la cárcel, sin cartera, sin telé‐ fono. Necesito dinero para la fianza". El timo se realizó usan‐ do un deepfake de audio que imitaba la voz de su nieto mientras se realizaba la llama‐ da. Otro hombre recibió una vi‐ deollamada similar de su mu‐ jer, que le pidió 3.600 euros porque había tenido "un acci‐ dente de coche y tenía que so‐ lucionar la situación con el otro conductor". Claro está, no era su mujer, aunque la cara que aparecía en la pantalla gesticulan­do y hablando con su mismo tono de voz sí lo pa‐ recía.

Una tendencia que se ha cola‐ do en el mundo laboral La tecnología deepfake lleva boicoteand­o la vida pública en los últimos meses,

73% poniendo en guardia a muchos gobier‐ nos. Las

imágenes pornográfi‐ cas de Taylor Swift

generadas

por IA se volvieron virales en enero, pero los vídeos falsos en los que un supuesto presi‐ dente Biden pedía a los votan‐ tes de New Hampshire que no votaran iba también un paso más allá. Otras empresas, in‐ cluido el trader de criptomone‐ das Binance, se han topado con estafadore­s que utilizan recreacion­es virtuales de eje‐ cutivos y parece estar funcio‐ nando.

"Un caso curioso fue el de una empresa europea en la que un empleado del departamen­to fi‐ nanciero recibió un WhatsApp de su CEO diciéndole que te‐ nían una reunión online porque se iba de vacaciones y había que hacer unas operacione­s fi‐ nancieras. No cayó en la tram‐ pa porque le extrañó que le hu‐ biera dicho de verse por Goo‐ gle Teams, cuando el equipo siempre se reúne por videolla‐ madas de Slack. Y también porque había hablado con el CEO esa misma mañana y no le había comentado nada al respecto, ni que se iba de va‐ caciones. Se destapó el pas‐ tel", relata Corrons.

Cuidado con la estafa del CEO: caer en la trampa puede ser causa de despido

María Jesús Labarca Una sen‐ tencia ha declarado proceden‐ te la desvincula­ción de una tra‐ bajadora que cayó en la tram‐ pa de los ciberdelin­cuentes por "incumplimi­ento de la nor‐ mativa interna" y otros facto‐ res que consideró la compañía

Aquí en España, sin ir más le‐ jos,

una funcionari­a de la EMT fue engañada mediante llama‐ das telefónica­s y correos por unos delincuent­es chinos, que

se hacían pasar por abogados de una conocida consultora

y por el propio presidente de la EMT y concejal de Transporte­s del Ayuntamien­to de Valencia, Giuseppe Grezzi, para que au‐ torizara unos pagos y transfe‐ rencias. Los autores orquesta‐ ron una red de sociedades ex‐ tranjeras con el fin de ocultar el rastro del dinero.

El problema es que en el mun‐ do empresaria­l, además de te‐ ner un efecto devastador en sus cuentas, los estafadore­s pueden extender sus redes pa‐ ra encontrar vulnerabil­idades más fácilmente. Antes, los je‐ fes se rompían la cabeza para entrenar a la plantilla a que fuera capaz de detectar co‐

rreos electrónic­os de phishing y no pinchar en los enlaces que no toca. Los ciberdelin‐ cuentes simplement­e necesi‐ taban que una persona de cientos descargara sin darse cuenta el malware necesario para acceder al sistema. Aho‐ ra, con la IA, los empleados ya no saben si en una llamada de Zoom están hablando con un compañero o no. Se ha instau‐ rado una era de escepticis­mo. Y no es para menos, esta prác‐ tica fraudulent­a ha aumentado un 3000% durante el año pasa‐ do.

"El problema es que antes era complicado que un empleado cayera en el timo de descargar un virus. Ahora, si tienes a tu jefe directo diciéndote que es‐ tá en una reunión importante y que va a hacer tal negocio o tal pedido y necesita que ha‐ gas una transferen­cia inmedia‐ tamente porque si no, no va a conseguir la compra o el acuerdo,

¿Le vas a decir que no a tu CEO?", señala el exper‐

to.

Un joven se graba a sí mismo con el móvil. (Unsplash) Uno de los obstáculos al que apuntan muchos expertos es que la justicia y las autorida‐ des ahora mismo no cuentan con una para frenar esta lacra. Primero, por‐ que es muy complicado identi‐ ficar al estafador o rastrear lla‐ madas, localizada­s por todo el mundo. Y segundo, porque se trata de una tecnología dema‐ siado nueva y no existe sufi‐ ciente jurisprude­ncia para que los tribunales responsabi­licen a las empresas por esto. La policía se ha limitado a ofrecer recomendac­iones y pautas a seguir cuando exista duda de estar siendo timado a

regulación sólida

través de un deepfake. Por ejemplo, aconsejan pedirle a los interlocut­ores que muevan la cabeza, que escriban una palabra o frase en una hoja de papel y la muestre ante la cá‐ mara. Todo lo que pueda ser difícil de replicar de manera convincent­e en tiempo real. Para el experto,

esto no siem‐ pre puede salvarte,

y más aho‐ ra que la tecnología ha mejora‐ do mucho. Para él, lo más se‐ guro en estos casos es hacer preguntas que puedan confir‐ mar su identidad, algo que só‐ lo tú y la persona sabéis, espe‐ cialmente cuando se trata de solicitude­s de transferen­cia de dinero.

Otra solución en entornos cor‐ porativos es equipar a cada empleado con claves para las reuniones online o las

Algunas plataforma­s de videoconfe­ren‐ cia ya han empezado a imple‐ mentar

saciones personales. conver‐ funciones de seguri‐ dad capaces de detectar clo‐ naciones,

pero el gran grueso y las más importante­s aún no disponen de ellas. De momen‐ to, en esta marea de fraude electrónic­o, sólo nos queda una cosa: estar al loro.