DeepPhishing: La nueva arma en el cibercrimen

Los ataques de phishing han aumentado un 3.000% en el último año, y son un factor determinante en el incremento de las pérdidas por cibercrimen reportadas a nivel mundial.

El sistema global de transferencias bancarias procesa aproximadamente 45 millones de mensajes por día, moviendo bien más de 10 billones de dólares. Combinado con otros mecanismos de transferencia de dinero, incluidos los pagos en criptomoneda, ACH y plataformas específicas por país, es fácil ver cómo los ataques de phishing en transacciones financieras son una de las empresas criminales más grandes y de más rápido crecimiento en el mundo. El uso de deepfakes de audio y video en tiempo real (lo que llamamos DeepPhishing) representa una escalada dramática en esta amenaza, para la cual la mayoría de los profesionales financieros no están preparados.

En febrero de este año, Interpol anunció que las oficinas de Hong Kong de la firma de diseño británica Arup fueron víctimas de un ataque de DeepPhishing de 25,6 millones de dólares. Estos ataques han aumentado un 3.000% en el último año, y son un factor determinante en el incremento de las pérdidas por cibercrimen reportadas a nivel mundial. Y el ataque a Arup es un ejemplo de manual del nuevo esquema de fraude financiero impulsado por inteligencia artificial.

El nuevo esquema

El fraude es más antiguo que las finanzas mismas. En los últimos años, la categoría de "Business Email Compromise" (BEC) se ha convertido cada vez más en un término equivocado, ya que los atacantes han pasado del phishing por correo electrónico a la mensajería de texto mediante SMS, iMessage o WhatsApp. Ahora, con la ayuda de las tecnologías de inteligencia artificial generativa, están combinando esto con impersonaciones de audio y video realistas. Estos ataques pueden suplantar a miembros internos del equipo (como el CFO o CEO), socios bancarios, asesores financieros externos, incluso proveedores y clientes.

Esta escalada es más peligrosa de lo que podría parecer. Llevamos décadas lidiando con el correo electrónico y tenemos herramientas de protección empresarial disponibles; los mensajes directos son directos y personales, y dado que la mayoría de las organizaciones han adoptado un enfoque "trae tu propio dispositivo" para los teléfonos inteligentes, tenemos muy pocas herramientas disponibles para protegernos. Pero los mayores riesgos están en el audio y el video.

El audio es instintivamente persuasivo porque desencadena el reconocimiento, que es una respuesta límbica, no cognitiva: nuestro sistema nervioso reacciona a la familiaridad de la voz de alguien antes de que tengamos la oportunidad de activar las facultades críticas. Y nuestra evaluación visual de la confiabilidad es el proceso MÁS rápido: la evaluación inconsciente de la confiabilidad ocurre en una fracción de segundo, e influye fuertemente en nuestra toma de decisiones. Nos guste o no, estamos biológicamente programados para "confiar en la evidencia de nuestros ojos".

"(1) las personas no pueden detectar los deepfakes de manera confiable y (2) ni concienciar al respecto ni introducir incentivos financieros mejora su precisión de detección."

La vulnerabilidad está aumentando

Gracias a una pandemia global y a la exitosa proliferación de los teléfonos inteligentes, ahora somos alcanzables por Zoom en cualquier rincón del mundo. Esto ha llevado a una cultura que exige "excepciones" a los procesos y plazos normales de la prudencia financiera: las vacaciones, el trabajo híbrido, la rotación de empleados y una nueva generación de directivos con una mentalidad digital primero ha aumentado las expectativas de transacciones únicas y de respuesta rápida. ¿Qué podría ser más inocuo que una llamada de Zoom de su CFO en la playa durante las vacaciones?

Con un aumento sistémico en el raspado de redes sociales, las grandes filtraciones de datos y el robo de identidad, los atacantes tienen todos los datos que necesitan para elaborar correos electrónicos y mensajes de texto de alta credibilidad. (Conocen el nombre de su jefe, la ubicación de la oficina, el restaurante favorito, el cónyuge, los hijos, el nombre del perro, etc.) Usando inteligencia artificial, estos ataques están completamente automatizados A ESCALA. Pero lo más importante es que la tarea del correo electrónico se ha vuelto mucho más simple: los atacantes no necesitan que usted apruebe una transacción fraudulenta en un correo electrónico; solo necesitan que usted acceda a una llamada telefónica o de video.

Los ataques se están proliferando

Las herramientas utilizadas para crear impersonaciones de video y audio en tiempo real existen desde 2019. Pero solían ser difíciles de usar, ya que requerían habilidades personalizadas de desarrollo de software, equipos especializados y una cantidad costosa de recursos informáticos. Más importante aún, cada ataque requería semanas o meses de preparación, por lo que los objetivos eran seleccionados individualmente. Para que un ataque valiera la pena, debía generar millones, si no decenas de millones de dólares.

Ahora, estos ataques son rápidos, fáciles y baratos. A medida que se eliminan las barreras de acceso, el número de grupos criminales que pueden pivotar hacia este mercado está aumentando. Si eso no fuera suficiente, hay un factor más: la traducción impulsada por inteligencia artificial ahora es impecable; los atacantes ya no necesitan tener ningún dominio del idioma de sus objetivos.

Estamos tomando las medidas equivocadas para protegernos

Cada generación de guerra se ha caracterizado por mejoras sobre la generación anterior, tanto en ataque como en defensa. Pero algunas de esas mejoras han sido incrementales y otras han sido disruptivas: a medida que las flechas se volvían más afiladas, la armadura se volvía más resistente. Pero con el paso de los arcos a las pistolas, usar armadura ya no era suficiente. Nuestra defensa contra el phishing siempre ha sido la educación y la vigilancia: verifique dos veces al remitente y no haga clic en ningún enlace a menos que reconozca la URL. Con el DeepPhishing, la formación ya no funciona: nadie puede ser entrenado para detectar deepfakes.