Cómo minimizar los riesgos que suponen los deepfakes para las empresas

  • Seguridad

deepfake biometria

Los deepfakes se han convertido en un método idóneo de acceso a los datos y recursos corporativos para los ciberdelincuentes mediante técnicas como la extorsión, el fraude o la autenticación. Por tanto, las empresas deben adoptar medidas de protección que eviten posibles daños financieros y de reputación.

Recomendados: 

Metodología para adoptar SAP/4 HANA de forma rápida y económica. Documento

Descubre cómo optimizar tus gastos IT. Video

Transformación digital mediante `Data Cloud' inteligente.  Informe

Los deepfakes se han convertido en un vector emergente utilizado por los ciberdelincuentes para obtener acceso a los sistemas corporativos, datos o recursos financieros y, además, pueden dañar su reputación. Ante este riesgo, las empresas pueden tomar una serie de medidas.

Derivado del aprendizaje profundo, que fue la tecnología que permitió su desarrollo, el deepfake utiliza la Inteligencia Artificial para crear archivos de vídeo o audio muy convincentes que imitan a un tercero. Digamos que se trata, como explica la FundéuRAE. de un vídeo extremadamente realista y ultrafalso. Con el aprendizaje profundo, los algoritmos aprenden a través de vastos grupos de datos sin necesidad de supervisión humana, por lo que, cuanto mayor sea el conjunto, más preciso será el algoritmo.

Como explica la firma de seguridad Netskope, aunque los deepfakes se producen por una amplia gama de razones legítimas o ilegítimas, los ciberdelincuentes han encontrado en ellos un método idóneo para acceder a los datos y recursos corporativos mediante técnicas diversas que van desde la extorsión a ejecutivos, a quienes se les amenaza con la publicación de imágenes falsas o comprometidas, hasta el fraude, adoptando la identidad de un empleado o cliente o la autenticación, al manipular la verificación de identidad o la autenticación que se basa en la biometría, como los patrones de voz o el reconocimiento facial. Estas prácticas, por supuesto, pueden dañar la reputación de una empresa y/o sus empleados con los clientes y otras partes interesadas.

Deepfakes como servicio: el delito cada vez más barato
De los riesgos asociados a los deepfakes, el impacto en el fraude es uno de los más preocupantes para las empresas en la actualidad. De hecho, existen herramientas de deepfake que se ofrecen como servicio en la deep web, lo que facilita y abarata a los delincuentes la puesta en marcha de este tipo de esquemas de fraude, sin importar que tengan conocimientos técnicos limitados. También cabe destacar que la publicación de grandes volúmenes de imágenes y vídeos que los usuarios difunden de sí mismos en las plataformas de las redes sociales, actúan como insumos importantes para que los algoritmos de aprendizaje profundo sean cada vez más convincentes.

Por ello, los tres principales tipos de fraude a los que deben estar atentos los responsables de seguridad de las empresas, son: el fantasma, por el que un delincuente utiliza los datos de una persona fallecida para crear un deepfake; el de identidad, a través del cual los estafadores extraen datos de muchas personas diferentes para crear una identidad ficticia; y el financiero, cuando se utilizan identidades robadas o falsas para abrir nuevas cuentas bancarias. Estos tres tipos de fraude buscan utilizar estos datos para acceder a servicios en línea, solicitar y utilizar tarjetas de crédito, pedir préstamos o realizar grandes transacciones, entre otras operaciones.

Claves de defensa
Los expertos de la compañía han reunido las siguientes recomendaciones para que las empresas hagan frente a este vector de ataque:

- Planificar los procedimientos de respuesta y los simulacros. Los deepfakes deben incorporarse a la planificación de escenarios y a las pruebas de crisis. Los planes deben incluir la clasificación de los incidentes y esbozar procesos claros de notificación de estos sucesos, así como procedimientos de escalada y notificación, especialmente cuando se trata de mitigar el riesgo para la reputación.

- Educar a los empleados. Al igual que los departamentos de seguridad educan a los empleados para que detecten los correos electrónicos de phishing, también deberían concienciarles sobre los deepfakes. Como ocurre en otras áreas de la ciberseguridad, los empleados deben ser considerados como una importante línea de defensa, especialmente dado el uso de deepfakes para la ingeniería social.

- Adoptar procedimientos de verificación secundarios para las transacciones sensibles. Es importante no confiar y verificar siempre. Asimismo, se recomienda disponer de métodos secundarios de verificación o devolución de llamadas, como marcas de agua en archivos de audio y vídeo, autenticación paso a paso o doble control.

- Contratar un seguro de protección. A medida que crezca la amenaza del deepfake, las aseguradoras ofrecerán sin duda una gama más amplia de opciones.

- Actualizar las evaluaciones de riesgo. Incorporar los deepfakes al proceso de evaluación de riesgos de los canales y servicios digitales.

A juicio de Netskope, la tecnología seguirá evolucionando en los próximos años y los deepfakes serán más difíciles de identificar.