Los cibercriminales encontraron en la utilización de la inteligencia artificial una manera de potenciar sus estafas, y que sus engaños sean más reales y difíciles de detectar. En el último tiempo se observaron videos falsos en los que se suplanta la identidad de personas de renombre internacional, como Lionel Messi, o el CEO de una importante organización, aunque también existen en escalas más pequeñas, como un director de una escuela en Estados Unidos. ESET, compañía líder en detección proactiva de amenazas, repasa algunos de los casos en donde las deepfakes fueron la herramienta principal para diagramar estafas que generaron pérdidas millonarias o de información sensible.
El deepfake es una técnica de síntesis de imágenes humanas basada en inteligencia artificial para crear contenido falso desde cero, utilizando vídeos existentes o, incluso, solo a partir de una imagen estática. Están diseñados para replicar la apariencia y el sonido de una persona real.
“Con la evolución de la Inteligencia Artificial, estos vídeos y audios parecen cada vez más reales. Muchos explotan la imagen de figuras públicas o entidades de renombre diciendo algo falso, como parte de una estafa que busca obtener dinero o información sensible.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
ESET recopiló los casos reales del último tiempo:
Lionel Messi: El jugador de fútbol argentino es una de las personalidades más reconocidas a nivel mundial. En este caso, los cibercriminales aprovecharon su popularidad para realizar una estafa con deepfake, mediante la cual promovían una aplicación con ganancias sospechosamente altas e irresistibles. La app en cuestión se llamaba «Wildcat Dive», y en el video apócrifo Messi aseguraba que era una de sus principales fuentes de ingresos y que gracias a ella pudo ayudar a muchas personas a ganar dinero. A través de publicidades de la red social Instagram, los cibercriminales distribuyeron fragmentos de una entrevista apócrifa para la que habían utilizado de base una entrevista real que el futbolista había concedido a un reconocido programa argentino de streaming.
Arup: A principios de 2024, la empresa de arquitectura que diseñó la Ópera de Sídney y el Estadio Etihad, Arup, fue noticia porque un empleado financiero de la oficina que la compañía tiene en Hong Kong, tomó una videollamada con (supuestamente) su director financiero. El resultado de la reunión fueron 15 transferencias por más de 25 millones de dólares. La mala noticia es que en realidad se trataba de un deepfake, por lo que las transferencias no habían sido previamente aprobadas por nadie en la compañía.
Ferrari: En este caso, los cibercriminales buscaron llevar a cabo una estafa de voz deepfake, simulando ser Benedetto Vigna, el director ejecutivo de la empresa automotriz. En julio de 2024, a través de la imitación de la voz, intentaron convencer a los ejecutivos encargados de las finanzas de la compañía a realizar una transferencia de dinero, por un monto muy alto. Uno de los empleados dudó de la situación y realizó una pregunta que la IA utilizada para el engaño no pudo contestar correctamente. No solo que este ataque no surtió efecto, sino que sirvió para que Ferrari refuerce la capacitación entre sus colaboradores para que no caigan en este tipo de estafas.
WPP: Una de las mayores empresas de publicidad del mundo también fue blanco de un intento de estafa que involucraba un deepfake. A mitad de 2024, los cibercriminales se valieron de una cuenta falsa de WhatsApp, un audio de voz y material de YouTube de una reunión virtual, para suplantar la identidad del CFO de la compañía, llamado Mark Read. Los actores maliciosos organizaron una reunión a través de Microsoft Teams, con la excusa de crear una nueva empresa, y a través de ese señuelo, obtener dinero y datos personales y sensibles de la compañía. Según informaron desde WPP, este ataque no tuvo éxito gracias al estado de vigilancia y la capacitación de los colaboradores para detectar estos engaños.
Escuela de Baltimore: No solo las empresas de alto rango son objetivo de las deepfake. En este caso, se escucha a un director de escuela hacer comentarios racistas y antisemitas. El hecho se hace viral (más de 2 millones de visualizaciones) y termina provocando amenazas de muerte contra el educador en cuestión. Tras una investigación, las autoridades policiales locales confirmaron que se trataba de un audio falso manipulado con IA.
Elon Musk: Una estafa vinculada a inversiónes en criptomonedas, utilizó la imagen del Elon Musk para difundir anuncios en X y YouTube de supuestas oportunidades de inversión que prometían altas ganancias en Bitcoin. Los anuncios distribuían un enlace que dirigía a un sitio web fraudulento en el que el usuario engañado debía realizar depósitos iniciales para operar en la supuesta inversión. Según la Federal Trade Commission de los Estados Unidos, el engaño, que incluía deepfakes, representó una pérdida de más de 80 millones de dólares entre las más de 7.000 víctimas que creyeron en la supuesta inversión.
Presidente Zelensky: La política también se vio envuelta en el engaño de los deepfakes. En marzo de 2022, en pleno conflicto entre Rusia y Ucrania, circuló un video apócrifo en el cual se veía al presidente de Ucrania, Volodímir Zelensky instando a sus tropas a rendirse. Esto provocó que el mandatario responda casi inmediatamente, a través de un video legítimo que publicó en sus canales oficiales.
Más allá de que los engaños que utilizan deepfake sean cada vez más realistas y difícil de detectar, desde ESET comparte buenas prácticas que permiten reducir el riesgo de ser víctima de este tipo de estafas:
Desconfiar de los anuncios llamativos, que ofrecen una ganancia demasiado buena para ser verdad. Y también de aquellos que involucran a personalidades de renombre mundial.
Prestar atención a la calidad del video: si se evidencian fallas a nivel visual, mala sincronización o baja resolución, posiblemente se trate de un deepfake.
Utilizar un software de seguridad en todos los dispositivos, que contribuya al bloqueo de sitios falsos y mails con contenido malicioso.
Para las empresas, es importante que no se puedan autorizar pagos solamente por una llamada o videollamada. En este punto se puede incluir el uso de palabras clave o códigos internos, como método extra de validación.
Ponderar la capacitación continua: estar entrenado para reconocer las señales de alarma de deepfakes y fraudes es otro hábito clave.
Aprovechar las herramientas que existen actualmente para detectar deepfakes y combatir la desinformación.
Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/seguridad-digital/7-casos-reales-de-estafas-donde-se-utilizaron-deepfakes/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
