Hace unos días se publicó la noticia en la que una entidad bancaria de Emiratos Árabes Unidos (EAU) habría sido objetivo de un fraude por valor de 400k dólares. Este dato es conocido a raíz de que la entidad de EAU ha solicitado a especialistas estadounidenses apoyo en el seguimiento de 2 transacciones realizadas sobre un banco estadounidense valorados en unos 400.000 dólares. Esta noticia no sería “novedad”, ya que está tristemente a la orden del día noticias de intentos de estafas mediante ciberataques, no obstante, la novedad de este ataque ha sido cómo se ha perpetrado, ya que combinó varias técnicas convencionales, junto con el uso de Inteligencia Artificial, lo que va a suponer un nuevo reto para tratar de identificar patrones o acciones que no son legítimas.
Todo comenzó cuando el director de un banco emiratí recibió la llamada de un CEO cliente suyo, el cual solicitaba una transferencia de 35 millones de dólares para un negocio. Para realizar dicha estafa, contó con la figura de un abogado que también participaba en la empresa y mientras estaban en la conferencia, éstos apoyaron su plan con el envío simultaneo de correos electrónicos que soportaban su versión.
Hasta aquí parece que todo es un típico ataque del CEO convencional, con la diferencia de que la víctima sufrió el ataque mediante la llamada telefónica, ya que la víctima conocía al CEO y reconoció su voz, pero ¿cómo consiguió esto el atacante? Mediante IA y técnicas clásicas de ingeniería social.
El ataque fue preparado a través de una entramada red en la que se vieron involucradas unas 17 personas (que se tenga constancia), ya que se tuvo que obtener las credenciales de los correos tanto del CEO como del abogado, así como un registro de voz del CEO. Todo esto suena a ciencia ficción, a que Ethan Hunt (Tom Cruise en Misión Imposible) haya inspirado a los atacantes.
Normalmente estamos habituados a ataques dirigidos sin gran valor añadido en los que se envían solicitudes de transferencia con faltas de ortografía o intentos de suplantación de identidad para obtener las cuentas y credenciales de los estafados a través de burdos sms. Pero en este caso, todo cambió con el uso de DeepVoice.
Esta técnica consiste en replicar a la perfección la voz del suplantado, algo similar a lo que ocurre con los Deepfakes donde parece que la persona realmente está actuando de una determinada manera en un video. El primer intento de estafa conocido con esta técnica se produjo en 2019 cuando los atacantes se hicieron pasar por un ejecutivo de una compañía para realizar una transacción de 240.000 dólares.
El uso de DeepVoice ha mejorado considerablemente gracias a los avances tecnológicos y el uso de la inteligencia artificial que actualmente, permite con un archivo de audio de 30 minutos del suplantado generar audios de gran veracidad. Hoy en día la aplicación de DeepFakes para actividades ilícitas es uno de los temas con más auge en los foros de la darkweb lo que indica que la “popularización” de estos ataques es inminente.
Esta técnica no hará más que mejorar en su capacidad de semejanza por lo que se espera que en un futuro el número de ataques aumente exponencialmente ya que será prácticamente imposible a simple vista distinguir entre la realidad o la ficción. El uso de fakes no solo afecta a los ataques financieros, podemos encontrar casos en los que buscar confundir a la opinión pública con el uso de políticos o personajes públicos con el potencial que esto supone para actores como empresas o estados. También se han llegado a registrar numerosos casos en los que se ha suplantado a personas para generar videos pornográficos.
Para evitar este tipo de ataques tan sofisticados es fundamental tener sistemas de seguridad que garanticen la integridad de nuestros sistemas y equipos permitiendo evitar los ataques como por ejemplo los de tipo Phishing donde también juega un papel fundamental la concienciación. Además, debemos establecer sistemas que exijan la comprobación previa a cualquier operación o cambio sustancial con la implantación, por ejemplo, de dobles factores complejos (en el caso del ejemplo, que no sea necesaria solo la firma de una persona para ciertas transferencias bancarias).
En cuanto a las amenazas de DeepFake, a pesar de que estamos hablando de sistemas de una altísima complejidad siempre debemos tener en cuenta que si establecemos controles de verificación podremos luchar contra este tipo de ataques.
Cada día somo todos un poco más Ethan Hunt.
Equipo GRC