Carla Martín Ramírez

La exposición de información en la red, así como cada interacción y acción en línea, va dejando un rastro que conforma una huella digital y que resulta relevante tanto para usuarios particulares como para entornos empresariales. En el caso de las empresas, independientemente de su sector y tamaño, resulta fundamental identificar y proteger la información expuesta para preservar su integridad y prevenir posibles ataques a su seguridad. El estudio de la huella digital no se limita a la información que la empresa decide hacer pública, como su página web, redes sociales o imágenes oficiales, sino que abarca cualquier tipo de dato que se pueda recopilar con el fin de obtener más información sobre la compañía. Entre estos datos se pueden incluir comentarios e imágenes de empleados y clientes en redes sociales, información financiera y mercantil, metadatos, sistemas operativos y herramientas corporativas utilizadas, vulnerabilidades, o información no protegida en repositorios. La huella digital no solo afecta a la reputación de la empresa, ya que esta está estrechamente vinculada a su marca e identidad digital, sino que también puede ser analizada y utilizada por actores amenaza con fines maliciosos. A continuación, se exponen algunos ejemplos de ello: Fraude del CEO: este fraude tiene como objetivo engañar a empleados que tienen acceso a los recursos económicos de la empresa para que transfieran dinero desde la cuenta bancaria de la compañía o paguen una factura falsa, por ejemplo. Para cometer este fraude se necesita, entre otras cuestiones, un amplio conocimiento de cómo funciona la empresa, los cargos directivos e intermedios y los tipos de comunicaciones corporativas. Un conocido caso de este tipo de fraude ocurrió a principios de este año en una multinacional de Hong Kong. La empresa fue víctima de un sofisticado fraude en el que se combinó un profundo conocimiento de la empresa con el uso de deepfakes. Los estafadores suplantaron la imagen y la voz del director financiero y otros empleados en una videollamada, logrando engañar a un trabajador que realizó una transferencia fraudulenta de 24 millones de euros. El fraude del CEO puede involucrar deepfakes y un conocimiento detallado de la empresa. En noviembre de este año se publicó otro caso significativo al respecto, aunque, en esta ocasión, no llegó a consumarse. Un popular restaurante de Cartagena (Murcia) fue víctima de este tipo de estafa, utilizando para ello también inteligencia artificial para clonar la voz del gerente. Además, los estafadores consiguieron acceder a las cámaras de seguridad para monitorizar en tiempo real el lugar. Los estafadores llamaron al local con la voz falsificada del gerente y solicitaron una transferencia bancaria, describiendo detalles específicos de la situación para dar mayor credibilidad a la estafa. No obstante, en esta ocasión, la empleada sobre la que estaba dirigida la estafa sospechó del engaño debido a que algunos aspectos no coincidían con la dinámica habitual de trabajo. Suplantación de redes sociales o páginas webs: la suplantación de identidad consiste en apropiarse de la identidad de una persona o empresa con motivos malintencionados, para obtener algún beneficio o causar algún tipo de daño reputacional. Para ello, utilizando la información recopilada sobre la empresa en la red, como imagen de marca, estilo de comunicación y productos ofertados, un estafador puede crear una página web o perfil muy similar al original en alguna red social para hacerse pasar por la empresa con el objetivo de engañar a sus clientes para obtener un beneficio económico. Por ejemplo, Incibe informó de un caso reciente en el que se desarticuló en España una trama de suplantación de páginas web. La organización criminal llevó a cabo suplantaciones de comercios online legítimos dedicados a la venta de productos electrónicos de alta gama y las páginas webs creadas fraudulentamente eran idénticas o muy similares a las originales. Otro ejemplo de ello se publicó en octubre de este año, cuando un grupo de estafadores creó de manera fraudulenta una página web de un negocio de electrodomésticos y electrónica de Vigo (Pontevedra). Los estafadores también suplantaron a la empresa en WhatsApp y Wallapop y utilizaron, además de la imagen de la empresa, los datos concretos de la tienda, la dirección y el CIF para aparentar mayor veracidad. Estos casos representan únicamente una muestra de los numerosos ataques o fraudes potenciales que podrían afectar a una empresa y que podrían tener una mayor probabilidad de éxito cuando existe una mayor exposición de información accesible. La suplantación de identidad en redes sociales y páginas webs puede causar daños reputacionales y económicos a las empresas. Importancia de la huella digital en la seguridad empresarial En este contexto, la Asociación Española de Empresas Contra el Fraude publicó recientemente el Informe sobre tendencias de Fraude en empresas 2024-2025. Según el informe, las empresas encuestadas registraron un aumento del 78% en los intentos de fraude respecto al año anterior, y un 61% más de fraudes consumados. Además, en cuanto a los canales de fraude utilizados, el fraude online representó el 62%, y sumado al 20% del canal telefónico, el fraude no presencial ascendió al 82% del total. Conocer la huella digital debe formar parte de la estrategia para proteger la integridad empresarial y prevenir ataques. El informe subraya una creciente preocupación por el fraude y su impacto en las empresas, además de que el fraude a través de canales no presenciales se ha consolidado como un riesgo destacado para estas. Por este motivo, conocer la huella digital empresarial y la monitorización continua de la información expuesta juega un papel importante en la estrategia de seguridad de una empresa, pues una inadecuada gestión de la información accesible no solo facilita el acceso a esta por parte de los delincuentes, sino que también aumenta la probabilidad de que los ataques sean más específicos, sofisticados y dirigidos, lo que eleva el riesgo de que los posibles fraudes o ataques se consumen con éxito. Ciberseguridad Cómo Clean Email Business protege a las pymes de ciberataques por correo electrónico 13 de septiembre de 2023

Brad Smith, presidente y vicepresidente de Microsoft, declaró hace pocos meses ante legisladores de EE.UU. que una de sus mayores preocupaciones está relacionada con la proliferación de los deepfakes, e instó a los legisladores estadounidenses a crear nuevas leyes para proteger su seguridad nacional, así como que se tomen medidas para que las personas sepan reconocer este tipo de falsificación. El deepfake es un método de suplantación de identidad en la que se utiliza una técnica avanzada de Inteligencia Artificial que recopila datos sobre movimientos físicos, rasgos faciales e incluso voz, para procesarlos y crear contenido audiovisual, gráfico o de voz falso, con un resultado hiperrealista.  Se pueden identificar varios tipos de deepfakes, utilizados de manera conjunta o por separado, por ejemplo: Deepvoice: en los que a través de fragmentos de voz de una persona se replica para emitir otro mensaje o contenido. Deepface: en los que a través de contenido multimedia en los que aparezca una persona, se consigue suplantar su cara y sus gestos para emitir un contenido diferente. La primera vez que se utilizó esta técnica por parte de un usuario particular fue en 2017, por un usuario de Reddit cuyo nombre de perfil era 'Deepfakes'. Desde entonces, y especialmente durante los últimos años, los deepfake han ganado gran relevancia y accesibilidad, estando actualmente mucho más disponibles al público en general a través de aplicaciones comerciales, lo que aumenta el riesgo de que se utilice este tipo de tecnología con una intencionalidad fraudulenta o maliciosa. ◾ Un caso reciente es el de una treintena de menores de Almendralejo (Badajoz), que denunció que estaban circulando montajes fotográficos suyos realizados a través de Inteligencia Artificial, creados y difundidos por otros menores. ◾ Además, se ha alertado de un aumento de estafas a través de llamadas suplantando la identidad de familiares, en las que se solicita dinero urgentemente por encontrarse en alguna situación apremiante. Los deepfake en el ámbito empresarial No obstante, esto se puede relacionar directamente con la seguridad en el ámbito empresarial, ya que modificando la voz y/o la imagen de un miembro de la directiva de una empresa, los ciberdelincuentes podrían suplantar su identidad y realizar llamadas, o incluso videollamadas, tomando decisiones que puedan ser perjudiciales o fraudulentas para la compañía. Ya hemos comentado con anterioridad sobre la utilización de los deepfake para este fin. Por ejemplo, en las estafas del tipo Fraude del CEO. Como ya hemos mencionado, durante los últimos años los métodos de deepfake se han vuelto mucho más accesibles y además, con el auge de la inteligencia artificial, han avanzado de forma vertiginosa, siendo cada vez más realistas. Centrándonos en los deepfake de voz, esta categoría de simulación ha conseguido que en los últimos meses la reproducción de la voz artificial tenga un sonido mucho más natural, asemejándose cada vez más a la voz humana, y dificultando por tanto el poder discernir si se trata de una simulación o una voz humana real. Un ejemplo de ello es la herramienta anunciada por Microsoft a principios de este año, denominada VALL-E, un modelado de lenguaje que se puede utilizar para sintetizar voz personalizada de alta calidad con solo una grabación registrada de 3 segundos, suplantando incluso la cadencia, el tono de la voz y el entorno acústico. Aunque esta herramienta todavía no está en circulación, hay muchas otras que sí se pueden utilizar actualmente, aunque requieren una grabación de voz de mayor duración, como Resemble.ai o CereVoice Me, entre otras. Una aplicación reciente de este método para utilizarlo fraudulentamente ocurrió durante la primavera de este año, cuando un inversor de Florida contactó con su representante local de Bank of America para informarle de una gran transferencia de dinero. Sin embargo, durante el proceso se realizó una segunda llamada, en la que suplantaron la identidad del inversor a través de una clonación de voz, con el objetivo de engañar al representante de la entidad para que transfiriera el dinero a otro destinatario. En este caso el fraude fue rápidamente detectado y no se llegó a consumar. Otro caso reciente, en el que se llegó a transferir el dinero ocurrió en Baotou (Mongolia Interior, China). En esta ocasión se utilizó esta tecnología para convencer a un hombre de transferir dinero a un supuesto amigo que necesitaba 4,3 millones de yuanes para hacer un deposito durante un proceso de licitación. No obstante, unos ciberdelincuentes habían suplantado la identidad de su amigo para conseguir que se les transfiriera el dinero a ellos. Cyber Security AI of Things Ciberseguridad en la era de la IA: por qué los ataques de phishing son ahora más peligrosos 9 de octubre de 2023 Formas de prevenir y detectar los deepfake Algunas tecnologías emergentes están ayudando a que se puedan detectar los deepfake: Se pueden utilizar algoritmos criptográficos para insertar valores hash a intervalos establecidos durante el vídeo; si el vídeo se modifica, cambiarán los valores hash. La IA y la cadena de bloques pueden registrar una huella digital a prueba de manipulaciones para vídeos. Otra forma de neutralizar los intentos de deepfake es utilizar un programa que inserte “artefactos” digitales especialmente diseñados en los vídeos para ocultar los patrones de píxeles que utiliza el software de detección facial. Estos ralentizan los algoritmos de deepfake y generan resultados de mala calidad. Reconocimiento de voz biométrico: este reconocimiento utiliza características únicas de la voz de una persona, como el tono, la cadencia y ritmo, para verificar su identidad. Análisis de espectrograma: los espectrogramas de voz pueden revelar señales de manipulación, como superposiciones o ediciones. Blockchain: algunas soluciones utilizan tecnología blockchain para rastrear y verificar la autenticidad de las imágenes desde su origen. Sin embargo, la tecnología no es la única manera de protegerse contra las técnicas de falsificación, ya sean estas de imagen, vídeo o voz. Estos son algunas técnicas útiles para detectar y evitar de forma eficaz los intentos de fraude a través de deepfake: Verificación de identidad multifactorial: combina el reconocimiento de voz con otros métodos de verificación, como puede ser la autenticación de contraseña o el reconocimiento facial, para aumentar la seguridad. La presencia en cualquier organización empresarial de controles automáticos integrados en todos los procesos que impliquen un desembolso de fondos también es muy relevante. Educación y sensibilización: asegurar que tanto empleados como otros usuarios conocen cómo funciona un deepfake y los retos que puede plantear. Hacer un buen uso de los medios de comunicación y de utilizar fuentes de información de buena calidad. Es importante destacar que, dado el constante avance de la tecnología, los métodos de detección y prevención también están en constante evolución. Esto hace que sea muy importante para las organizaciones empresariales mantenerse al día con las últimas técnicas y herramientas disponibles, y adaptar sus estrategias de seguridad en consecuencia. AUTORES CARLA MARTÍN RAMÍREZ Analista de inteligencia de Telefónica Tech DANIEL SANDMEIER Analista de Telefónica Tech Ciberseguridad IA & Data Evolución de la Ciberseguridad: la IA como herramienta de ataque y defensa 28 de junio de 2023