Hoy en día, con al auge de las videoconferencias en el ámbito laboral y, en general, el uso de las nuevas tecnologías que utilizan nuestra voz e imagen, se han detectado un nuevo tipo de ataques o métodos de estafa por los ciberdelicuentes. Los Deepfakes.
¿En qué consistes los Deepfakes?
Los Deepfakes son archivos de imagen, vídeo y voz manipulados por un software de inteligencia artificial de tal manera que parezcan reales. Esta técnica utilizada por ciberdelincuentes permite superponer en un vídeo el rostro de una persona en el de otra, añadiendo su voz y sus gestos para que parezcan los de la persona suplantada, lo que se traduce en un gran riesgo para las empresas, puesto que, de conseguir llevar a cabo esta técnica, el ciberdelincuente podría realizar llamadas haciéndose pasar por gerencia, autorizar transferencias bancarias y demás acciones que podrían perjudicar reputacionalmente a la organización.
Existen dos tipos de deepfakes, el Deepvoice y el Deepface: el primero consiste en que uniendo fragmentos de voz de la víctima se replica su voz para decir otro mensaje. Los ciberdelincuentes podrían suplantar la voz de alguien en una llamada de teléfono o audio de voz. El segundo, consiste en unir fragmentos multimedia para suplantar la cara y los gestos de una persona, por lo que los ciberdelincuentes podrían suplantar a una persona en videollamadas o vídeos.
¿Qué se puede hacer para evitarlo?
Evitarlo al 100 % es casi imposible, ya que en la actualidad nuestra imagen y nuestra voz al ser usadas tan habitualmente, tanto en nuestro entorno laboral como social, hace que existan múltiples archivos de vídeo y voz nuestros, que pueden ser manipulados.
¿Cómo podemos preparar a nuestra empresa?
- Es muy importante fijar la atención en los puntos críticos que pueden llevarnos ante un ataque de este tipo, como, por ejemplo:
- Control de redes sociales: especial importancia los accesos a la cuenta de la empresa, menciones en las publicaciones y localizaciones de la empresa.
- Formación e información a los empleados/as: imprescindible para el personal que gestione puntos clave para la empresa como puede ser la gestión de transferencias bancarias.
- Contar con las suficientes medidas de seguridad informáticas para poder realizar videoconferencias de manera segura, accediendo únicamente personal autorizado o que cuente con credenciales de acceso.
- Establecer protocolos de trabajo, por ejemplo, a la hora de autorizar transferencias que sean confirmadas previamente por correo electrónico y verificadas por más de una persona.
¿Qué hacer si nuestra empresa resulta afectada?
Ante la situación de haber sido víctima de un Deepfake, es imprescindible tener implantado un protocolo de actuación. Los pasos que indiscutiblemente hay que seguir son:
En primer lugar, si se trata de un audio o vídeo que afecte reputacionalmente a la empresa mediante la divulgación de información falsa, debemos localizar el origen de esa publicación y tratar de eliminarlo de la red para evitar que se siga utilizando y el daño sea mayor.
En segundo lugar, siempre se deben denunciar estos incidentes ante la Policía Nacional o Guardia Civil, quienes cuentan con departamentos especializados, aunque no siempre se dé con el ciberdelincuente, comunicar estos nuevos ataques ayudará a adquirir información de los mismos para poder detenerlos cuanto antes.
Finalmente, comunicarlo al Instituto Nacional de Ciberseguridad, Incibe-Cert, que es el organismo encargado que aboga por una ciberseguridad con garantías y que da respaldo ante este tipo de situaciones. Tienen a disposición el número de teléfono 017 de ayuda en ciberseguridad donde nos informarán de cómo proceder y qué otras medidas tomar para evitar que vuelva a suceder.
