Autor: ANGUS LOTEN The Wall Street Journal

La IA impulsa un aumento en las estafas de suplantación de identidad de jefes ejecutivos
La IA impulsa un aumento en las estafas de suplantación de identidad de jefes ejecutivos El director ejecutivo de OpenAI, Sam Altman, dijo recientemente que temía una próxima “crisis de fraude” provocada por la capacidad de la IA de hacerse pasar por otras personas. guridad a una dirección de correo electrónico encriptada, o simplemente hacer clic en un enlace enviado por correo electrónico con un código malicioso.
Al igual que muchos asistentes virtuales, la imagen automatizada del funcionario falso está diseñada para responder a preguntas o comentarios casi en tiempo real, imitando un modo natural de conversar; lo que incluye un tono de voz reconocible, un patrón lingüístico o incluso un acento revelador. “Estos ataques funcionan porque simplemente apuntan al modo en que operan los humanos”, señaló Margaret Cunningham, directora de seguridad y estrategia de IA en la firma de ciberseguridad Darktrace.
La familiaridad, la autoridad y la urgencia son poderosas palancas cognitivas, indicó Cunningham: “Una vez que se establece la confianza, por breve que sea, los atacantes pueden asumir un papel de una persona con información privilegiada y solicitar acciones que se sientan legítimas”. Los profesionales de ciberseguridad sostienen que es probable que la cantidad de ataques ultrafalsos sea mucho más alta que lo que sugieren las denuncias. “Muchas compañías y organizaciones nunca van a revelar estos ataques públicamente para evitar un daño a su reputación”, afirmó Nati Tal, jefa de investigación en la firma de ciberseguridad Guardio.
Las pérdidas provenientes de la suplantación de identidad de directores ejecutivos y otros ejecutivos generada con IA excedieron los US$ 200 millones en el primer trimestre del año, según James Turgal, vicepresidente de ciberasesoría global, riesgo y relaciones con el consejo en Optiv, una firma de asesoría y servicios cibernéticos.
En un evento de la Reserva Federal en julio, el director ejecutivo de OpenAI, Sam Altman, manifestó que temía una próxima “crisis de fraude” provocada por la habilidad de la IA para suplantar la identidad de otras personas. La Red de Control de Delitos Financieros del Tesoro de EE.UU., o FinCEN, ha advertido sobre un aumento en las mencionadas estafas que apuntan a bancos, aseguradoras, corredoras hipotecarias y operadores de casinos.
A fines del año pasado, la entidad emitió una alerta de la industria que indicaba un aumento en la cantidad de ciberdelincuentes que utilizaban IA generativa para “atacar a empresas suplantando la identidad de un ejecutivo u otro empleado de confianza y luego instruyendo a las víctimas para que transfieran grandes sumas o realicen pagos a cuentas que están finalmente bajo el control del estafador”, precisó la entidad.
American Bankers Association, un grupo comercial de la industria, señaló que está monitoreando las amenazas de ataques ultrafalsos muy de cerca, con especial atención a las estafas de suplantación de ejecutivos bancarios, mientras trabaja con entidades federales y autoridades a cargo de la aplicación de la ley para generar conciencia entre sus miembros. No solo están en la mira las firmas financieras, o ejecutivos corporativos.
En marzo, YouTube advirtió a los creadores de videos del sitio sobre un video generado con IA que circulaba en forma privada en el que el director ejecutivo de YouTube, Neal Mohan, anunciaba supuestos cambios en sus políticas de monetización. El video falso proporcioCONTENIDO LICENCIADO POR THE WALL STREET JOURNAL Cada vez más empresas están enfrentando a un nuevo y temible ciberdelincuente: sus propios directores ejecutivos, o eso es lo que les hacen creer.
Impulsados por la inteligencia artificial (IA), los estafadores están utilizando cada vez más personificaciones realistas en voz y video de altos ejecutivos corporativos para persuadir en forma fraudulenta a los empleados para que entreguen millones de dólares en efectivo, datos críticos y otros activos de empresa.
Conocidas como ataques ultrafalsos, las estafas no son algo nuevo, pero el surgimiento de modelos de lenguaje e imagen de IA de bajo costo y fácil disponibilidad está logrando que el engaño sea más eficaz, más fácil de llevar a cabo y de mayor alcance, según expertos en ciberseguridad.
En Estados Unidos, hubo más de 105 mil ataques del tipo ultrafalso el año pasado o aproximadamente un ataque cada cinco minutos, un enorme aumento en relación a 2023, indicó Brian Long, jefe ejecutivo y cofundador de la firma de ciberseguridad Adaptive Security, que cuenta con el respaldo de OpenAI. “Hace un año, quizás uno de cada 10 ejecutivos de seguridad con los que hablé había visto uno. Ahora la cifra se acerca más a cinco de cada 10”, aseguró Long, cuya firma se especializa en la protección contra ataques de ingeniería social que emplean IA. Entre las empresas que reportaron ataques de suplantación de identidad de directores ejecutivos están el fabricante de automóviles Ferrari, la compañía de seguridad en la nube Wiz y la firma de publicidad WPP.
En un caso bien documentado que es citado por múltiples expertos en ciberseguridad, un empleado de la firma de ingeniería Arup, con sede en el Reino Unido, transfirió US$ 25 millones a estafadores el año pasado, después de una reunión en video con suplantaciones de identidad generadas con IA de varios ejecutivos de la compañía. Arup no respondió a las solicitudes de entregar algún comentario.
En una estafa típica, un empleado de oficina con acceso privilegiado a las operaciones internas de una compañía, como un gerente de finanzas, un asistente ejecutivo o un alto ingeniero de software, recibe una llamada de un falso director ejecutivo u otro alto funcionario por un asunto urgente. A menudo tiene que ver con un repentino avance en una muy cotizada adquisición o fusión, o un acuerdo similar de alto riesgo.
Luego de la llamada inicial viene una reunión virtual individual con un video convincente del funcionario, que le da al empleado instrucciones específicas para transferir fondos de emergencia a una cuenta para fines especiales, transmitir datos comerciales o antecedentes de senaba enlaces que “probablemente llevan a sitios de phishing que pueden instalar un malware o robar sus credenciales”, según la alerta. “Si los creadores han recibido estos videos privados de los phishers, los animamos a que denuncien el contenido”, dijo un vocero de YouTube a The Wall Street Journal.
Dmitry Volkov, director ejecutivo de Group-IB, una firma de investigación y servicios de ciberseguridad, señaló que funcionarios de alto rango contribuyen a las estafas eficaces de suplantación de identidad, en vista de su nivel de autoridad en la jerarquía corporativa. Además, muchos directores ejecutivos, jefes de finanzas y otros líderes empresariales son figuras públicas.
Como tal, proporcionaban a los estafadores cantidades de material accesible para capacitar modelos de IA, lo que incluye entrevistas con medios de comunicación, videos promocionales publicados en YouTube o Facebook, seminarios web y teleconferencias sobre ganancias, precisó Volkov. “Algunos minutos de audio o video limpio son extremadamente valiosos para cualquiera que busque crear estas estafas”, dijo Tal de Guardio. Con solo unas pocas muestras, indicó Tal, los modelos de IA “aprenden” a copiar el patrón de voz, el tono y los movimientos faciales de una persona. Una vez que se los capacita, los estafadores pueden utilizarlos para generar clips totalmente nuevos que se ven y suenan como si esa persona dijera cualquier cosa que el estafador quiera.
La sofisticación de rápido crecimiento de las herramientas de IA ya está logrando que las actuales estrategias para contrarrestar los ataques ultrafalsos sean menos eficaces, aseguró Dave Tyson, socio de iCounter, una firma de inteligencia de riesgo cibernético.
Estas incluyen herramientas de seguridad diseñadas para escanear los videos en busca de enlaces sospechosos, archivos adjuntos maliciosos o un comportamiento simplemente inusual, como matices en la composición o el habla, indicó Tyson: “Una proporción cada vez más grande de estafas está excluyendo estas revelaciones involuntarias y elaborando llamados a la acción específicos que no tienen estas señales”. La creciente amenaza ha llevado al surgimiento de emprendimientos de ciberseguridad que se especializan en la detección de ataques ultrafalsos, y cuyas primeras rondas de financiamiento abarcan desde los US$ 5 millones hasta muy por sobre los US$ 30 millones.
Alex Quilici, director ejecutivo de YouMail, una firma de seguridad que se especializa en llamados spam, señaló que una forma de abordar un ataque ultrafalso sospechoso es que el receptor contacte al funcionario a través de algún otro método usual, como un canal de Slack de uso frecuente o una línea telefónica corporativa oficial. Y agregó que los ejecutivos también deberían decir a los empleados de nivel inferior que está bien hacer una pausa y verificar su identidad. Las herramientas tecnológicas por sí solas no van a detener las estafas, aseguró Turgal, de Optiv. Una verificación rigurosa, la capacitación del personal y las defensas técnicas son vitales para la defensa.
Las suplantaciones de voz y video, agregó, “ya no son un concepto futurista, sino una amenaza actual a la ciberseguridad”. Artículo traducido del inglés por “El Mercurio”. PFA PÉRDIDAS Las mermas provenientes de la suplantación de identidad de directores ejecutivos excedieron los US$ 200 millones en el primer trimestre del año.. Los ciberdelincuentes están utilizando voces y videos ultrafalsos de altos ejecutivos para defraudar a empresas por millones de dólares; “Ya no es un concepto futurista”. En Estados Unidos, hubo un ataque cada cinco minutos el año pasado: PÉRDIDAS Las mermas provenientes de la suplantación de identidad de directores ejecutivos excedieron los US$ 200 millones en el primer trimestre del año.