No te fíes de tu jefe si te envía un audio por WhatsApp. Puede costarle millones a tu empresa

La semana pasada, un empleado de LastPass recibió un mensaje de WhatsApp del CEO de su empresa. Le pedía información sobre varios temas y también le enviaba notas de voz. La foto que mostraba el perfil era la de su jefe y en los audios se podía apreciar perfectamente también que era la voz de su superior. Sin embargo, algo que le dejó un poco descolocado era que la máxima figura jerárquica de la compañía le hubiera contactado por algo tan informal como es WhatsApp, existiendo otras vías de comunicación. "¿Por qué iba a mandarme Karim Toubba (director ejecutivo de LastPass) un mensaje a mí?", pensó.

Tras varios mensajes, hubo otro detalle que le hizo saltar las alarmas: le estaba metiendo mucha prisa para que hiciera todo lo que le pedía. A los pocos minutos y tras varias consultas con otros empleados, llegó a la conclusión de que quien le había estado contactando por WhatsApp no era su CEO. Y mucho menos alguien de su empresa. Era un ciberdelincuente que había usado tecnología deepfake para imitar la voz de su jefe e intentar estafarle. De haber caído en la trampa, la compañía hubiera vivido una catástrofe financiera, pues se dedica precisamente a la gestión de contraseñas de miles de clientes.

La clonación de voz o vídeo mediante inteligencia artificial —deepfake, como se le conoce en el mundo de la ciberseguridad—, es una práctica que va en aumento. Esta tecnología permite generar audios y vídeos que suplantan la identidad de otras personas, el problema llega cuando se emplea para cometer fraudes y estafas. Y recientemente se están dando muchos de estos casos en el mundo laboral y empresarial.

El más sonado ocurrió el mes pasado, cuando a otro empleado de una tecnológica de Hong Kong le levantaron la brutal cifra de 24 millones de euros. El modus operandi aquí fue mucho más surrealista y aterrador. Le invitaron a una videollamada en la que estaba su jefe y otros empleados de la plantilla. Le saludaban y hablaban con total normalidad. Todos parecían y sonaban como si fueran sus compañeros, pero resulta que todos los participantes en la llamada eran falsos.

El empleado ya había recibido varios correos electrónicos del "director financiero" de la compañía solicitándole que transfiriera esa cantidad de dinero. Como le preocupaba que se tratara de una estafa de phishing, pidió hacer una videollamada, y ahí se convenció de que la solicitud era legítima. Ni así se libró del engaño. Se trata de una de las mayores estafas financieras con tecnología deepfake hasta la fecha.

"La famosa 'estafa del CEO' lleva bastante tiempo rondando, lo que pasa que no con tecnología deepfake, sino con los emails tradicionales. Ahora, con la evolución digital, se ha disparado muchísimo la tendencia y casos como estos vamos a ver cada vez más. Los rápidos avances en IA ya permiten a cualquiera replicar la voz de alguien con solo una muestra de audio de unas pocas frases, que se pueden extraer fácilmente de las redes sociales de la persona en cuestión. Si eres el presidente de una empresa, seguramente habrá vídeos tuyos en internet. Y es algo que está causando pérdidas millonarias", explica Luis Corrons, experto en ciberseguridad y security evangelist de Grupo Gen.

TE PUEDE INTERESAR

"Se ha ordenado el pago de 425 euros". Cómo la declaración de la renta es un coladero de estafas

Albert Sanchis

Lo que hace el software es analizar las peculiaridades de la voz —edad, género o acento—, y busca en una amplia base de registros de voces para encontrar similitudes y predecir patrones. Luego es capaz de recrear el tono y el timbre de una persona con mucha precisión. El peligro es que la mayoría de veces es casi imposible distinguirla, y mucho menos cuando quien realiza la llamada lo hace con cierto tono de urgencia. Una investigación realizada por la Universidad de Londres sugiere que los humanos solo pueden detectar el 73% de los deepfakes.

Y más complicado se vuelve para las personas mayores que desconocen estas artimañas y viven ajenas a las estafas digitales. El año pasado, una mujer de 73 años, recibió una llamada del que parecía ser su nieto: "Abuela, estoy en la cárcel, sin cartera, sin teléfono. Necesito dinero para la fianza". El timo se realizó usando un deepfake de audio que imitaba la voz de su nieto mientras se realizaba la llamada. Otro hombre recibió una videollamada similar de su mujer, que le pidió 3.600 euros porque había tenido "un accidente de coche y tenía que solucionar la situación con el otro conductor". Claro está, no era su mujer, aunque la cara que aparecía en la pantalla gesticulando y hablando con su mismo tono de voz sí lo parecía.

Una tendencia que se ha colado en el mundo laboral

La tecnología deepfake lleva boicoteando la vida pública en los últimos meses, poniendo en guardia a muchos gobiernos. Las imágenes pornográficas de Taylor Swift generadas por IA se volvieron virales en enero, pero los vídeos falsos en los que un supuesto presidente Biden pedía a los votantes de New Hampshire que no votaran iba también un paso más allá. Otras empresas, incluido el trader de criptomonedas Binance, se han topado con estafadores que utilizan recreaciones virtuales de ejecutivos y parece estar funcionando.

"Un caso curioso fue el de una empresa europea en la que un empleado del departamento financiero recibió un WhatsApp de su CEO diciéndole que tenían una reunión online porque se iba de vacaciones y había que hacer unas operaciones financieras. No cayó en la trampa porque le extrañó que le hubiera dicho de verse por Google Teams, cuando el equipo siempre se reúne por videollamadas de Slack. Y también porque había hablado con el CEO esa misma mañana y no le había comentado nada al respecto, ni que se iba de vacaciones. Se destapó el pastel", relata Corrons.

TE PUEDE INTERESAR

Cuidado con la estafa del CEO: caer en la trampa puede ser causa de despido

María Jesús Labarca

Aquí en España, sin ir más lejos, una funcionaria de la EMT fue engañada mediante llamadas telefónicas y correos por unos delincuentes chinos, que se hacían pasar por abogados de una conocida consultora y por el propio presidente de la EMT y concejal de Transportes del Ayuntamiento de Valencia, Giuseppe Grezzi, para que autorizara unos pagos y transferencias. Los autores orquestaron una red de sociedades extranjeras con el fin de ocultar el rastro del dinero.

El problema es que en el mundo empresarial, además de tener un efecto devastador en sus cuentas, los estafadores pueden extender sus redes para encontrar vulnerabilidades más fácilmente. Antes, los jefes se rompían la cabeza para entrenar a la plantilla a que fuera capaz de detectar correos electrónicos de phishing y no pinchar en los enlaces que no toca. Los ciberdelincuentes simplemente necesitaban que una persona de cientos descargara sin darse cuenta el malware necesario para acceder al sistema. Ahora, con la IA, los empleados ya no saben si en una llamada de Zoom están hablando con un compañero o no. Se ha instaurado una era de escepticismo. Y no es para menos, esta práctica fraudulenta ha aumentado un 3000% durante el año pasado.

"El problema es que antes era complicado que un empleado cayera en el timo de descargar un virus. Ahora, si tienes a tu jefe directo diciéndote que está en una reunión importante y que va a hacer tal negocio o tal pedido y necesita que hagas una transferencia inmediatamente porque si no, no va a conseguir la compra o el acuerdo, ¿Le vas a decir que no a tu CEO?", señala el experto.

Uno de los obstáculos al que apuntan muchos expertos es que la justicia y las autoridades ahora mismo no cuentan con una regulación sólida para frenar esta lacra. Primero, porque es muy complicado identificar al estafador o rastrear llamadas, localizadas por todo el mundo. Y segundo, porque se trata de una tecnología demasiado nueva y no existe suficiente jurisprudencia para que los tribunales responsabilicen a las empresas por esto.

La policía se ha limitado a ofrecer recomendaciones y pautas a seguir cuando exista duda de estar siendo timado a través de un deepfake. Por ejemplo, aconsejan pedirle a los interlocutores que muevan la cabeza, que escriban una palabra o frase en una hoja de papel y la muestre ante la cámara. Todo lo que pueda ser difícil de replicar de manera convincente en tiempo real. Para el experto, esto no siempre puede salvarte, y más ahora que la tecnología ha mejorado mucho. Para él, lo más seguro en estos casos es hacer preguntas que puedan confirmar su identidad, algo que sólo tú y la persona sabéis, especialmente cuando se trata de solicitudes de transferencia de dinero.

Otra solución en entornos corporativos es equipar a cada empleado con claves para las reuniones online o las conversaciones personales. Algunas plataformas de videoconferencia ya han empezado a implementar funciones de seguridad capaces de detectar clonaciones, pero el gran grueso y las más importantes aún no disponen de ellas. De momento, en esta marea de fraude electrónico, sólo nos queda una cosa: estar al loro.