Deepfakes: la ciberamenaça que suplanta identitats

Actualment, la majoria de nosaltres tenim uns quants dispositius per connectar-nos a Internet, a qualsevol hora i des de qualsevol lloc. Tanmateix, la confiança que dipositem en aquestes eines ens exposa a múltiples amenaces. 

Saps com protegir-te de les ciberamenaces més sofisticades? D'uns anys ençà, els fraus i els ciberatacs estan en auge. Avui dia, la tecnologia deepfake s'està convertint en un dels enganys més perillosos de tot el planeta. 

Què és el deepfake?

El terme deepfake ve de deep learning, en referència a l'aprenentatge profund de la intel·ligència artificial, i fake, que significa fals. Els ciberdelinqüents manipulen contingut audiovisual fent servir intel·ligència artificial i creen rèpliques falses, però realistes, de persones, imitant-ne la veu, els gestos, els trets facials i, fins i tot, la manera de parlar. Així enganyen la víctima i l'empenyen a creure una mentida.

La ment dels ciberdelinqüents és imparable i el realisme de les seves falsificacions millora contínuament. Per exemple, un deepfake pot capturar la cara d'un famós multimilionari, com ara Carlos Slim o Ricardo Salinas Pliego, i simular que recomana una inversió miraculosa, cosa que ja passa a Mèxic. Interessant, oi? Però hi ha altres deepfakes molt més perillosos i aquí t'expliquem com els pots detectar. 

Aquesta estratègia utilitza àudio i vídeo manipulat amb IA generativa sorprenentment realista. Fa creure als espectadors que allò que veuen, senten o llegeixen és veritat, encara que es tracti de situacions falses o distorsionades. Per això, es fa ús de xarxes generatives antagòniques (GAN) que generen elements sintètics que exhibeixen una aparença similar a la de dades autèntiques. Algunes de les principals formes de deepfakes són: 

• La suplantació d'identitat de familiars en situacions d'emergència per crear una sensació d'urgència i demanar diners a les víctimes.
• El hackeig de comptes personals en xarxes socials per promocionar inversions falses. S'utilitzen aquests perfils per difondre enllaços enganyosos, que condueixen el receptor a fer clic i caure en l'estafa. 
• Les tàctiques de phishing per manipular les contrasenyes o els sistemes de xifratge de les empreses amb l'objectiu d'accedir als seus comptes corporatius. A través de correus electrònics falsificats, poden robar informació confidencial com ara dades bancàries o altres dades sensibles. 

Els primers deepfakes van sorgir el 2017 i han evolucionat constantment des de llavors, cosa que els ha convertit en una amenaça creixent per a la seguretat de les organitzacions. 

El 2021, l'FBI va emetre una advertència al respecte, que alertava sobre la falsificació de veus i imatges de persones reals. L'èxit de la majoria dels ciberatacs resideix en el desconeixement d'aquestes tècniques tan convincents. 

Com reconèixer una falsificació de deepfake 

Es preveu que aquesta tipologia de ciberdelicte vagi en augment a mesura que se'n perfeccionin els mètodes i les eines. Aquest fenomen serà cada cop més perjudicial i tindrà el potencial d'envair sistemes operatius i obtenir informació personal o financera. Pot resultar especialment preocupant en entorns laborals en què es treballa amb plataformes com ara Slack o Microsoft Teams.

No obstant això, hi ha elements clau que ens permeten determinar l'autenticitat del que es percep visualment o auditivament, i diferenciar entre un possible frau de deepfake i el contingut legítim. Per exemple: 

• Dessincronització entre el moviment dels llavis i l'àudio: es tracta d'un element clau en la detecció de fraus de deepfake, de manera que és imperatiu parar molta atenció a aquest detall. De vegades, fins i tot és fàcil detectar anomalies en la reproducció d'un àudio desfasat del moviment dels llavis o viceversa. 
• Alteracions evidents en la il·luminació: de vegades, es produeixen incoherències visuals a causa de la fusió d'imatges amb llum diferent. 
• Gestos facials robòtics i expressions fora de lloc: les expressions facials són determinants a l'hora de valorar la legitimitat d'un contingut audiovisual. Si observem gestos poc naturals, és possible que es tracti d'una manipulació. Per exemple, són sospitosos els parpellejos estranys o irregulars o, simplement, l'absència absoluta d'aquest gest. 
• Incoherències o artificialitat en la parla: és fonamental analitzar el context del missatge, avaluant la coherència, cohesió i fluïdesa del que estem escoltant. Una veu "metàl·lica" pot ser indici de manipulació. 

Com ens podem defensar

Es preveu que aquestes amenaces continuïn desenvolupant-se i augmentant el seu abast. La manca de coneixement sobre aquesta tecnologia és la principal raó del seu èxit. Per tant, és vital que les organitzacions implementin mesures preventives per mitigar els riscos d'aquests ciberdelictes i reduir-ne la vulnerabilitat davant de fraus produïts pel deepfake. Algunes mesures preventives bàsiques són: 

• Aplicar polítiques de contrasenyes sòlides i segures que incloguin una varietat de lletres, números i caràcters especials.
• Mantenir tots els sistemes operatius, programaris i aplicacions actualitzats amb les últimes versions de seguretat. Igualment, cal instal·lar i mantenir actualitzats els programes antivirus i antimalware en tots els dispositius connectats a la xarxa corporativa.
• Posar en marxa campanyes de conscienciació i capacitació per als empleats sobre les creixents amenaces de deepfake: els treballadors i els col·laboradors són la millor barrera defensiva si són crítics, conscients i curosos amb el contingut i els enllaços que reben.

En conclusió, els ciberdelinqüents estan aprofitant les tecnologies més recents per atacar les organitzacions, per la qual cosa és crucial que aquestes últimes inverteixin en mecanismes de protecció i prevenció davant de ciberamenaces millorades amb IA. Les mesures anteriorment esmentades són només algunes de les que ens poden ajudar a prevenir, detectar i respondre eficientment a possibles ciberdelictes i reduir els fraus d'enginyeria social sofisticada. 

Confiem que aquesta informació et sigui útil. Estarem encantats de proporcionar-te més detalls sobre la seguretat de les empreses davant les ciberamenaces emergents el 2024. No dubtis a posar-te en contacte amb nosaltres o visitar el nostre blog per obtenir més informació.