La desinformación generada por IA es uno de los principales riesgos globales que ha detectado el Foro Económico Mundial para los próximos años, junto a los ciberataques, el cambio climático, la polarización política y social y la crisis del coste de la vida. Las fake news y los deepfakes no son algo nuevo, pero los modelos de IA generativa han amplificado y extendido su potencial para fomentar la polarización social y política o perseguir fines económicos. En España lo hemos visto con la proliferación de bulos relacionados con la tragedia de la DANA de Valencia. El contenido fake se ha convertido en el talón de Aquiles, porque la información falsa afecta a la confianza, la toma de decisiones, la reputación y la seguridad de cualquier organización, sea pública o privada.
El 17% de los ciberataques se apoyarán en la IA generativa en 2027 (Gartner)
Precisamente, la IA generativa junto a los sistemas multimodales, están facilitando la creación de deepfakes de gran calidad y con poco esfuerzo. Hasta ahora, pequeños cambios en el mail del remitente, faltas de ortografía, erratas o expresiones poco comunes podían hacer sospechar ante un posible ataque de phishing. En adelante, esta tecnología ya facilita la ingeniería social. Los ciberdelincuentes pueden lanzar ataques con textos muy bien escritos e incluso conociendo datos personales de las posibles víctimas. Además, la accesibilidad a sistemas de clonación de voz o imagen, con resultados cada vez más reales, han empeorado la situación.
Un trabajador financiero de una multinacional fue engañado en Hong Kong para que pagara 25 millones de dólares tras una videollamada en la que los estafadores utilizaron tecnología deepfake. Según la denuncia, se reunió en una videoconferencia con varias personas de su empresa que resultaron ser falsas.
Un directivo de Ferrari evitó una estafa deepfake en julio de 2024. Según publicó Bloomberg, recibió varios mensajes de texto y voz supuestamente del CEO de la compañía. Aunque su voz parecía ser real, el directivo sospechó sobre su identidad y le preguntó sobre el último libro que le había recomendado. Pregunta a la que nunca recibió ninguna respuesta.
A estos ejemplos, algunos de los más sonados de este último año, se añaden otros muchos. Existen grupos organizados que se dedican a crear campañas deepfakes para conseguir dinero aprovechando la imagen de figuras públicas, incluidos directores ejecutivos, presentadores de noticias o altos funcionarios gubernamentales, según un informe de Unit 42, la división de investigación de la firma Palo Alto Networks.
También se está disparando la generación de imágenes pornográficas falsas o de sextorsión. La cantante Taylor Swift vio a principios de 2024 como las redes se inundaban de imágenes falsas y sexualmente explícitas. Según recuerda el divulgador y experto en ciberseguridad, Antonio Fernandes, en el podcast Cuidado con las macros ocultas de Cuatroochenta, “las redes están viralizando muy rápidamente estos contenidos y ponen en riesgo tu imagen pública”. En el episodio ‘Hackers a la caza de bugs’ Fernandes explica que se están desarrollando herramientas para detectar el contenido fake, pero debemos ser conscientes de que “los malos suelen estar dos pasos por delante” y pueden ser “muy imaginativos”.
«La desinformación es uno de los grandes riesgos y todo apunta a que va a ir en aumento. Es bastante sencillo clonar, por ejemplo, la voz de un CEO si asiste y participa en eventos públicos. Y con esa voz se pueden hacer llamadas ilícitas»
¿Cómo pueden las empresas protegerse?
A pesar de que existen herramientas que ayudan a identificar contenido manipulado o falso, la concienciación y la educación pueden ser la principal herramienta para combatir estas estafas. El propio CEO y cofundador de Cuatroochenta, Alfredo R. Cebrián, lo destacó en Linkedin a raíz de un intento de ataque del “fraude del CEO”. “Gracias a la labor de formación, prevención y los sistemas de seguridad que tenemos en la empresa nunca ha llegado a culminar con éxito un ataque de este tipo en nuestro perímetro de empresa”.
“Os recomiendo que fijéis términos clave o algún sistema sencillo con vuestros contactos de confianza para validar una llamada”, expone Cebrián. Son pequeñas acciones para verificar, ante cualquier llamada extraña, la identidad de la persona, ya que con los avances actuales “escuchar una voz reconocible, por desgracia, ya no sirve como método de confianza”. La atención, el conocimiento y el sentido común son clave para “minimizar muchísimo el impacto de estos ataques”.
«En este tipo de ataques, cada vez más frecuentes por su sencillez de implementación y efectividad, no podemos confiar únicamente en los controles tecnológicos. Sólo con un buen programa de formación y concienciación, acompañado de unos procesos administrativos sólidos conseguimos reducir el riesgo a niveles aceptables»
