Carla Martín Ramírez

En los últimos años se ha observado un aumento de los incidentes de seguridad conocidos, en los que datos personales de usuarios han quedado expuestos o comprometidos a raíz de brechas de seguridad en empresas u organizaciones. Este tipo de incidentes no solo afecta a las entidades responsables del tratamiento de los datos, sino que puede tener un impacto directo en las personas cuyos datos se ven involucrados. Recientemente se han difundido en los medios casos sobre incidentes de seguridad en los que empresas de dierentes tamaños y sectores han alertado de accesos no autorizados e ilegítimos a los datos de sus clientes. Como consecuencia de estos sucesos, se ha visto comprometida la confidencialidad de los datos personales de clientes que estaban bajo la responsabilidad de esas empresas, abarcando desde datos identificativos básicos hasta información relacionada con medios de pago. Pero, ¿qué es una filtración de datos y qué riesgos supone? Una filtración de datos se produce cuando datos personales o confidenciales son accedidos, copiados o extraídos por terceros no autorizados como consecuencia de un incidente de seguridad. Este tipo de situaciones suele tener su origen en una brecha de seguridad, ya sea provocada por un ciberataque, un error humano o una mala configuración de los sistemas de seguridad, que deriva en la exposición o exfiltración de la información. Desde el punto de vista normativo, estos incidentes se encuentran regulados por el Reglamento General de Protección de Datos (RGPD). En este marco, las empresas y organizacions que sufren una brecha de seguridad que afecte a datos personales están obligadas a notificar el incidente a la Agencia Española de Protección de Datos (AEPD), salvo que sea improbable que dicha brecha suponga un riesgo para los derechos y libertades de las personas. En cambio, cuando exista un riesgo alto para dichos derechos y libertades, el responsable del tratamiento deberá comunicar el incidente también a las personas afectadas. Como se ha visto en distintos casos reportados por los medios,, los datos que pueden verse implicados en una filtración de datos pueden ser muy variados: Datos personales (nombres, apellidos y DNI) Información de contacto (teléfono, correo electrónico o ubicaciones) Datos financieros (números de cuenta o IBAN) Contraseñas, datos contractuales, de servicios o datos médicos, entre otros, dependiendo de la actividad de la empresa y la naturaleza de la base de datos que haya podido verse expuesta. La exposición de este tipo de información puede conllevar riesgos relevantes para las personas afectadas. Entre ellos, se encuentra la suplantación de identidad para abrir cuentas bancarias, contratar líneas telefónicas, créditos, o realizar acciones fraudulentas en nombre de la persona afectada; el acceso no autorizado a cuentas o perfiles en redes sociales; o la realización de fraudes dirigidos utilizando la información filtrada para dotar de mayor credibilidad al engaño. Estos riesgos ya se han materializado en casos reales recientes, como los siguientes: A principios del año pasado, la Policía Nacional desarticuló una organización criminal que había logrado estafar más de 400.000 euros mediante compras fraudulentas en plataformas de comercio electrónico. Para ello, el grupo adquirió los datos bancarios de las víctimas de forma ilícita a través de bases de datos filtradas en la dark web. En otro ejemplo reciente, el estafador realizó una llamada telefónica a su víctima haciéndose pasar por empleado de su entidad bancaria y alertó de un supuesto intento de fraude en la cuenta. Para reforzar la credibilidad del engaño, el interlocutor comunicó correctamente datos personales de la víctima, como su nombre completo, número de cuenta y DNI, datos que podrían haber sido obtenidos a partir de filtraciones de datos previas. Teniendo en cuenta los riesgos, ¿qué medidas generales de protección se pueden aplicar? El Instituto Nacional de Ciberseguridad (Incibe) cuenta con un blog y varias guías para compartir información y formaciones sobre ciberseguridad para la ciudadanía. Entre ellas, ha publicado varios consejos y medidas a tratar para proteger cuentas comprometidas o simplemente mejorar la seguridad de las mismas. Algunas de ellas son las siguientes: Cambiar todas las contraseñas, tanto de las cuentas de los servicios que hayan sido comprometidos, como de otras cuentas en las que se hayan utilizado las mismas credenciales de acceso. Se deben evitar las contraseñas débiles, pues son las más fáciles de vulnerar. Para minimizar el riesgo, se debe recurrir a contraseñas robustas y utilizar gestores de contraseñas con los que gestionar distintas contraseñas para cada cuenta. Activar medidas de protección adicionales, como la verificación del doble factor siempre que esté disponible en el servicio a utilizar. Respecto al correo electrónico, es recomendable utilizar correos electrónicos alternativos para registros, siempre que sea posible, con el objetivo de no utilizar el correo principal y el que pueda contener mayor información personal. Así, además de conseguir disminuir la publicidad no deseada en esa cuenta, se limitan los riesgos de este tipo de filtraciones. Respecto a los datos bancarios, siempre que se sospeche de que han sido vulnerados, se debe notificar a la entidad bancaria correspondiente para evaluar el riesgo, tomar las medidas oportunas y actuar según las indicaciones de la entidad bancaria, que pueden incluir anular la tarjeta bancaria e identificar posibles actividades sospechosas. Por otro lado, es recomendable, siempre que sea posible, realizar las compras online con tarjetas virtuales específicas para ese fin, para reforzar la seguridad financiera en entornos digitales. Por último, es recomendable averiguar qué datos han sido comprometidos, aunque, por defecto, es mejor considerar comprometido cualquier dato que se haya podido compartir con una empresa afectada por una brecha de seguridad. Para finalizar, es recomendable realizar una comprobación habitual de las filtraciones de datos y verificar las cuentas cada cierto tiempo, así como realizar una búsqueda básica de nombre y apellidos o documentos de identificación personal para poder detectar perfiles falsos, suplantaciones de identidad o actividad sospechosa. Esta práctica se conoce como egosurfing y su objetivo es conocer la información personal que se puede encontrar fácilmente en la Red. Además, existen herramientas específicas que permiten comprobar si una dirección de correo electrónico ha sido incluida en alguna filtración de datos conocida, como la página web Have I Been Pwned o el informe de Google One sobre datos filtrados en la dark web, disponible para su uso hasta el 16 de febrero. Adicionalmente, Incibe dispone de un servicio de apoyo a la ciudadanía, que ofrece asesoramiento gratuito y confidencial a través de distintos canales de comunicación, bajo el nombre de Tu Ayuda en Ciberseguridad.

La exposición de información en la red, así como cada interacción y acción en línea, va dejando un rastro que conforma una huella digital y que resulta relevante tanto para usuarios particulares como para entornos empresariales. En el caso de las empresas, independientemente de su sector y tamaño, resulta fundamental identificar y proteger la información expuesta para preservar su integridad y prevenir posibles ataques a su seguridad. El estudio de la huella digital no se limita a la información que la empresa decide hacer pública, como su página web, redes sociales o imágenes oficiales, sino que abarca cualquier tipo de dato que se pueda recopilar con el fin de obtener más información sobre la compañía. Entre estos datos se pueden incluir comentarios e imágenes de empleados y clientes en redes sociales, información financiera y mercantil, metadatos, sistemas operativos y herramientas corporativas utilizadas, vulnerabilidades, o información no protegida en repositorios. La huella digital no solo afecta a la reputación de la empresa, ya que esta está estrechamente vinculada a su marca e identidad digital, sino que también puede ser analizada y utilizada por actores amenaza con fines maliciosos. A continuación, se exponen algunos ejemplos de ello: Fraude del CEO: este fraude tiene como objetivo engañar a empleados que tienen acceso a los recursos económicos de la empresa para que transfieran dinero desde la cuenta bancaria de la compañía o paguen una factura falsa, por ejemplo. Para cometer este fraude se necesita, entre otras cuestiones, un amplio conocimiento de cómo funciona la empresa, los cargos directivos e intermedios y los tipos de comunicaciones corporativas. Un conocido caso de este tipo de fraude ocurrió a principios de este año en una multinacional de Hong Kong. La empresa fue víctima de un sofisticado fraude en el que se combinó un profundo conocimiento de la empresa con el uso de deepfakes. Los estafadores suplantaron la imagen y la voz del director financiero y otros empleados en una videollamada, logrando engañar a un trabajador que realizó una transferencia fraudulenta de 24 millones de euros. El fraude del CEO puede involucrar deepfakes y un conocimiento detallado de la empresa. En noviembre de este año se publicó otro caso significativo al respecto, aunque, en esta ocasión, no llegó a consumarse. Un popular restaurante de Cartagena (Murcia) fue víctima de este tipo de estafa, utilizando para ello también inteligencia artificial para clonar la voz del gerente. Además, los estafadores consiguieron acceder a las cámaras de seguridad para monitorizar en tiempo real el lugar. Los estafadores llamaron al local con la voz falsificada del gerente y solicitaron una transferencia bancaria, describiendo detalles específicos de la situación para dar mayor credibilidad a la estafa. No obstante, en esta ocasión, la empleada sobre la que estaba dirigida la estafa sospechó del engaño debido a que algunos aspectos no coincidían con la dinámica habitual de trabajo. Suplantación de redes sociales o páginas webs: la suplantación de identidad consiste en apropiarse de la identidad de una persona o empresa con motivos malintencionados, para obtener algún beneficio o causar algún tipo de daño reputacional. Para ello, utilizando la información recopilada sobre la empresa en la red, como imagen de marca, estilo de comunicación y productos ofertados, un estafador puede crear una página web o perfil muy similar al original en alguna red social para hacerse pasar por la empresa con el objetivo de engañar a sus clientes para obtener un beneficio económico. Por ejemplo, Incibe informó de un caso reciente en el que se desarticuló en España una trama de suplantación de páginas web. La organización criminal llevó a cabo suplantaciones de comercios online legítimos dedicados a la venta de productos electrónicos de alta gama y las páginas webs creadas fraudulentamente eran idénticas o muy similares a las originales. Otro ejemplo de ello se publicó en octubre de este año, cuando un grupo de estafadores creó de manera fraudulenta una página web de un negocio de electrodomésticos y electrónica de Vigo (Pontevedra). Los estafadores también suplantaron a la empresa en WhatsApp y Wallapop y utilizaron, además de la imagen de la empresa, los datos concretos de la tienda, la dirección y el CIF para aparentar mayor veracidad. Estos casos representan únicamente una muestra de los numerosos ataques o fraudes potenciales que podrían afectar a una empresa y que podrían tener una mayor probabilidad de éxito cuando existe una mayor exposición de información accesible. La suplantación de identidad en redes sociales y páginas webs puede causar daños reputacionales y económicos a las empresas. Importancia de la huella digital en la seguridad empresarial En este contexto, la Asociación Española de Empresas Contra el Fraude publicó recientemente el Informe sobre tendencias de Fraude en empresas 2024-2025. Según el informe, las empresas encuestadas registraron un aumento del 78% en los intentos de fraude respecto al año anterior, y un 61% más de fraudes consumados. Además, en cuanto a los canales de fraude utilizados, el fraude online representó el 62%, y sumado al 20% del canal telefónico, el fraude no presencial ascendió al 82% del total. Conocer la huella digital debe formar parte de la estrategia para proteger la integridad empresarial y prevenir ataques. El informe subraya una creciente preocupación por el fraude y su impacto en las empresas, además de que el fraude a través de canales no presenciales se ha consolidado como un riesgo destacado para estas. Por este motivo, conocer la huella digital empresarial y la monitorización continua de la información expuesta juega un papel importante en la estrategia de seguridad de una empresa, pues una inadecuada gestión de la información accesible no solo facilita el acceso a esta por parte de los delincuentes, sino que también aumenta la probabilidad de que los ataques sean más específicos, sofisticados y dirigidos, lo que eleva el riesgo de que los posibles fraudes o ataques se consumen con éxito. Ciberseguridad Cómo Clean Email Business protege a las pymes de ciberataques por correo electrónico 13 de septiembre de 2023

Brad Smith, presidente y vicepresidente de Microsoft, declaró hace pocos meses ante legisladores de EE.UU. que una de sus mayores preocupaciones está relacionada con la proliferación de los deepfakes, e instó a los legisladores estadounidenses a crear nuevas leyes para proteger su seguridad nacional, así como que se tomen medidas para que las personas sepan reconocer este tipo de falsificación. El deepfake es un método de suplantación de identidad en la que se utiliza una técnica avanzada de Inteligencia Artificial que recopila datos sobre movimientos físicos, rasgos faciales e incluso voz, para procesarlos y crear contenido audiovisual, gráfico o de voz falso, con un resultado hiperrealista.  Se pueden identificar varios tipos de deepfakes, utilizados de manera conjunta o por separado, por ejemplo: Deepvoice: en los que a través de fragmentos de voz de una persona se replica para emitir otro mensaje o contenido. Deepface: en los que a través de contenido multimedia en los que aparezca una persona, se consigue suplantar su cara y sus gestos para emitir un contenido diferente. La primera vez que se utilizó esta técnica por parte de un usuario particular fue en 2017, por un usuario de Reddit cuyo nombre de perfil era 'Deepfakes'. Desde entonces, y especialmente durante los últimos años, los deepfake han ganado gran relevancia y accesibilidad, estando actualmente mucho más disponibles al público en general a través de aplicaciones comerciales, lo que aumenta el riesgo de que se utilice este tipo de tecnología con una intencionalidad fraudulenta o maliciosa. ◾ Un caso reciente es el de una treintena de menores de Almendralejo (Badajoz), que denunció que estaban circulando montajes fotográficos suyos realizados a través de Inteligencia Artificial, creados y difundidos por otros menores. ◾ Además, se ha alertado de un aumento de estafas a través de llamadas suplantando la identidad de familiares, en las que se solicita dinero urgentemente por encontrarse en alguna situación apremiante. Los deepfake en el ámbito empresarial No obstante, esto se puede relacionar directamente con la seguridad en el ámbito empresarial, ya que modificando la voz y/o la imagen de un miembro de la directiva de una empresa, los ciberdelincuentes podrían suplantar su identidad y realizar llamadas, o incluso videollamadas, tomando decisiones que puedan ser perjudiciales o fraudulentas para la compañía. Ya hemos comentado con anterioridad sobre la utilización de los deepfake para este fin. Por ejemplo, en las estafas del tipo Fraude del CEO. Como ya hemos mencionado, durante los últimos años los métodos de deepfake se han vuelto mucho más accesibles y además, con el auge de la inteligencia artificial, han avanzado de forma vertiginosa, siendo cada vez más realistas. Centrándonos en los deepfake de voz, esta categoría de simulación ha conseguido que en los últimos meses la reproducción de la voz artificial tenga un sonido mucho más natural, asemejándose cada vez más a la voz humana, y dificultando por tanto el poder discernir si se trata de una simulación o una voz humana real. Un ejemplo de ello es la herramienta anunciada por Microsoft a principios de este año, denominada VALL-E, un modelado de lenguaje que se puede utilizar para sintetizar voz personalizada de alta calidad con solo una grabación registrada de 3 segundos, suplantando incluso la cadencia, el tono de la voz y el entorno acústico. Aunque esta herramienta todavía no está en circulación, hay muchas otras que sí se pueden utilizar actualmente, aunque requieren una grabación de voz de mayor duración, como Resemble.ai o CereVoice Me, entre otras. Una aplicación reciente de este método para utilizarlo fraudulentamente ocurrió durante la primavera de este año, cuando un inversor de Florida contactó con su representante local de Bank of America para informarle de una gran transferencia de dinero. Sin embargo, durante el proceso se realizó una segunda llamada, en la que suplantaron la identidad del inversor a través de una clonación de voz, con el objetivo de engañar al representante de la entidad para que transfiriera el dinero a otro destinatario. En este caso el fraude fue rápidamente detectado y no se llegó a consumar. Otro caso reciente, en el que se llegó a transferir el dinero ocurrió en Baotou (Mongolia Interior, China). En esta ocasión se utilizó esta tecnología para convencer a un hombre de transferir dinero a un supuesto amigo que necesitaba 4,3 millones de yuanes para hacer un deposito durante un proceso de licitación. No obstante, unos ciberdelincuentes habían suplantado la identidad de su amigo para conseguir que se les transfiriera el dinero a ellos. Cyber Security AI of Things Ciberseguridad en la era de la IA: por qué los ataques de phishing son ahora más peligrosos 9 de octubre de 2023 Formas de prevenir y detectar los deepfake Algunas tecnologías emergentes están ayudando a que se puedan detectar los deepfake: Se pueden utilizar algoritmos criptográficos para insertar valores hash a intervalos establecidos durante el vídeo; si el vídeo se modifica, cambiarán los valores hash. La IA y la cadena de bloques pueden registrar una huella digital a prueba de manipulaciones para vídeos. Otra forma de neutralizar los intentos de deepfake es utilizar un programa que inserte “artefactos” digitales especialmente diseñados en los vídeos para ocultar los patrones de píxeles que utiliza el software de detección facial. Estos ralentizan los algoritmos de deepfake y generan resultados de mala calidad. Reconocimiento de voz biométrico: este reconocimiento utiliza características únicas de la voz de una persona, como el tono, la cadencia y ritmo, para verificar su identidad. Análisis de espectrograma: los espectrogramas de voz pueden revelar señales de manipulación, como superposiciones o ediciones. Blockchain: algunas soluciones utilizan tecnología blockchain para rastrear y verificar la autenticidad de las imágenes desde su origen. Sin embargo, la tecnología no es la única manera de protegerse contra las técnicas de falsificación, ya sean estas de imagen, vídeo o voz. Estos son algunas técnicas útiles para detectar y evitar de forma eficaz los intentos de fraude a través de deepfake: Verificación de identidad multifactorial: combina el reconocimiento de voz con otros métodos de verificación, como puede ser la autenticación de contraseña o el reconocimiento facial, para aumentar la seguridad. La presencia en cualquier organización empresarial de controles automáticos integrados en todos los procesos que impliquen un desembolso de fondos también es muy relevante. Educación y sensibilización: asegurar que tanto empleados como otros usuarios conocen cómo funciona un deepfake y los retos que puede plantear. Hacer un buen uso de los medios de comunicación y de utilizar fuentes de información de buena calidad. Es importante destacar que, dado el constante avance de la tecnología, los métodos de detección y prevención también están en constante evolución. Esto hace que sea muy importante para las organizaciones empresariales mantenerse al día con las últimas técnicas y herramientas disponibles, y adaptar sus estrategias de seguridad en consecuencia. AUTORES CARLA MARTÍN RAMÍREZ Analista de inteligencia de Telefónica Tech DANIEL SANDMEIER Analista de Telefónica Tech Ciberseguridad IA & Data Evolución de la Ciberseguridad: la IA como herramienta de ataque y defensa 28 de junio de 2023