IA, deepfake y la evolución del fraude del CEO
Tabla de contenidos
Los ciberdelincuentes usan los deepfakes para ejecutar un fraude del CEO más sofisticado y difícil de detectar por la víctima
En 2019, la Empresa Municipal de Transportes de Valencia sufrió un fraude de 4 millones de euros. ¿Cómo se produjo? Un grupo de ciberdelincuentes recurrió a una técnica de ingeniería social clave de los últimos años: el fraude del CEO. A través de la suplantación de identidades vía email y la ejecución de llamadas telefónicas falsas, los criminales lograron que la directora de administración de la EMT diera la orden de realizar hasta ocho transferencias por valor de 4 millones de euros, con el objetivo de realizar una supuesta adquisición en China.
Un año más tarde, en 2020, durante la crisis del coronavirus, la farmacéutica Zendal fue víctima de un fraude del CEO por valor de 9,7 millones de euros. La operativa de los delincuentes fue similar. Suplantaron la identidad del CEO de la empresa para ordenar a un directivo financiero la realización de transferencias para realizar una adquisición. Y, también, se hicieron pasar por profesionales de KPMG, una de las Big Four del mundo de la asesoría empresarial a nivel global, para remitir al directivo engañado las órdenes de pago y las facturas falsas que daban fe de las operaciones.
Estos dos sonados casos solo son una pequeña muestra de las gravísimas consecuencias económicas, legales y reputacionales de que una compañía y sus altos directivos sean víctimas del fraude del CEO.
Si ya de por sí esta clase de ciberestafa pone en jaque a las empresas y a sus responsables, el panorama de amenazas se complejiza si a la ecuación le sumamos la consolidación de la Inteligencia Artificial.
A continuación, vamos a explorar cómo la irrupción de los deepfakes puede sofisticar la técnica del fraude del CEO y dificultar la capacidad de detección de las organizaciones.
1. ¿En qué consiste el fraude del CEO?
El fraude del CEO no deja de ser una versión más sofisticada y ambiciosa de la técnica de ingeniería social más popular: el phishing.
La mecánica básica de este tipo de ataques consiste en:
- Se fija un objetivo empresarial y se realiza una labor de inteligencia criminal para comprender cómo funciona la organización y cuáles deben ser los targets concretos dentro de la misma.
- Se crea una dirección de email falsa con apariencia de realidad para que parezca legítima, por ejemplo, incorporando el dominio de la empresa e introduciendo pequeñas variaciones que pasen desapercibida.
- Se envía un correo electrónico a un directivo con capacidad y poder para ordenar grandes transferencias de dinero, haciéndose pasar por un superior jerárquico como el CEO o el CFO. En este mensaje se sientan las bases para justificar la operación. Por ejemplo, la adquisición de otra empresa, generalmente en un país diferente y con un idioma distinto.
- Se piden diferentes transferencias a lo largo del tiempo para completar la operación que las justifica. Durante el periodo en el que el fraude del CEO está activo, se genera y remite a la víctima documentación que dote a la estafa de apariencia de veracidad, como facturas o contratos.
- Cuando finalmente la empresa o las entidades bancarias con las que trabaja detecten el fraude, los delincuentes desaparecen y el dinero se mueve a través de diferentes países para dificultar su recuperación.
2. ¿Por qué tienen éxito estas estafas?
Más allá de esta operativa básica, los actores maliciosos han ido perfeccionando el fraude del CEO para conseguir estafar a sus víctimas con éxito. Ya sea incorporando llamadas falsas como en el caso de la EMT, o suplantando la identidad de varias personas y organizaciones, como sucedió en el ataque a Zendal.
Gracias a ello, el fraude del CEO se ha consolidado como una actividad fraudulenta de primer nivel. Sin ir más lejos, este año, la Europol desmanteló un grupo de ciberdelincuentes franco-israelí que había robado 38 millones de dólares en pocos días empleando esta metodología criminal.
Aunque cada grupo criminal tiene su propia metodología y que las tácticas, técnicas y procedimientos de los delincuentes evolucionan con el tiempo, todas las estafas que recurren al fraude del CEO conjugan tres elementos que les permiten:
- Sortear las resistencias de la víctima y su suspicacia.
- Forzarlas a actuar sin diligencia.
- Evitar que la víctima interaccione con otros compañeros o, incluso, se ponga en contacto con su superior de manera directa a través de un canal infalible.
2.1. Entre la seducción y el engaño
Estos tres elementos clave para el éxito del fraude del CEO son:
- Jerarquía. La orden la realiza un superior jerárquico, por lo que muchos profesionales, aunque ocupen cargos directivos, no proceden a cuestionarla, incluso aunque les parezca extraña, como sucedió en el caso de la farmacéutica.
- Discreción. Los mensajes hacen hincapié en la necesidad de que el directivo sea discreto a la hora de tramitar las operaciones financieras. ¿Por qué? La coartada es una operación sensible, como una adquisición o un contrato clave. Además, en una derivada netamente psicológica, formar parte del pequeño núcleo de personas que conocen la operación provoca que la víctima se sienta importante y obvie las señales de alarma. De hecho, es posible que esta sensación de empoderamiento la lleve a realizar, incluso, actuaciones claramente negligentes y a extralimitarse de sus funciones, como ocurrió en el ataque a la EMT.
- Premura. La seducción de la víctima se completa con un elemento clásicos en los ataques de ingeniería social: la premura. Los pagos se han de realizar cuanto antes para evitar que la operación se vea frustrada.
3. ¿Qué es el deepfake?
En Cara a Cara, una película de culto del Hollywood de los 90, un policía, interpretado por John Travolta se ponía la cara de un peligroso criminal, al que daba vida Nicolas Cage. Literalmente. ¿Por qué? Hacerse pasar por él y atrapar a sus cómplices. Obviamente, la clonación facial no ha ido por esta fantasiosa vía, pero sí se ha convertido en una realidad en nuestro presente gracias al deepfake.
El concepto de deepfake hace referencia a archivos de imagen, sonido o audiovisuales falsos generados gracias a herramientas de Inteligencia Artificial. La evolución de las IA generativas ha llegado hasta tal punto que, en la actualidad, ya resulta difícil discernir si una foto es real o ha sido generada con Inteligencia Artificial. E, incluso, ya está sucediendo también con los videos.
El deepfake puede tener repercusiones sociales y políticas de primer nivel. Por ejemplo, pensemos en la divulgación de un video falso en el que se ve a un candidato cometiendo un delito o haciendo unas declaraciones gravísimas antes de unas elecciones. De hecho, tanto en la guerra de Ucrania como en el conflicto entre Israel y Hamás se han divulgado deepfakes desde los diferentes bandos para manipular a la opinión pública internacional.
3.1. Deepfakes de personas y contra personas
Sin embargo, no hay que irse a los grandes conflictos bélicos para observar el impacto de los deepfakes en el mundo, porque ya se ha colado en el día a día de miles de personas alejadas del foco público.
Toda nuestra vida está en internet. De hecho, es difícil que nuestra huella digital no incluya videos, audios o imágenes que pueden ser empleados para generar documentos manipulados en los que salgamos nosotros realizando acciones que no llevamos a cabo, se nos vea en lugares en los que no estuvimos o pronunciando frases que nunca dijimos.
Los actores maliciosos pueden usar las IA generativas para realizar deepfakes que les ayuden a alcanzar sus objetivos criminales y cometer fraudes.
La posibilidad de clonar rostros y voces supone una revolución en la puesta en marcha de las técnicas de ingeniería social en general y del fraude del CEO en particular.
4. Del email a la llamada telefónica: Clonar la voz de los directivos
Aunque los sistemas de Inteligencia Artificial se han popularizado en los últimos años, al calor de las IA generativas como ChatGPT, han sido empleados con fines fraudulentos desde hace tiempo.
De hecho, en 2019 se hizo público un fraude en el que se usó la clonación de voz. El director de la sucursal británica de una energética alemana fue víctima de un timo del CEO ejecutado gracias al uso de un deepfake. Este alto directivo recibió una supuesta llamada telefónica de su jefe, para indicarle que realizara una transferencia de 240.000 dólares a una cuenta en Hungría. Aunque la petición le resultó extraña, priorizó el mandato jerárquico.
¿Qué hubiera pasado si, en vez de recibir una llamada, la orden le hubiera llegado a través del email como sucedía en el timo del CEO clásico? ¿Habría llamado a su jefe para confirmar la orden de transferencia? Nunca lo sabremos, pero este caso evidencia que la clonación de voz dota de una pátina de credibilidad a esta clase de fraudes a grandes directivos.
Tras este caso, se han ido sucediendo otros a lo largo de los años. Por ejemplo, en 2021 salió a la luz un fraude de 35 millones de dólares en el que también se había engañado a un alto directivo gracias al uso de un deepfake de voz. De ahí que las autoridades públicas, incluida la Europol, hayan alertado del uso pernicioso de la clonación de voz para cometer fraudes y estafar a empresas y profesionales.
5. Un paso más allá en el fraude del CEO: las videollamadas
El deepfake de voz puede resultar muy peligroso si se emplea para estafar a compañías o personas, pero nos encaminamos hacia un escenario aún más delicado: que se realice un fraude del CEO recurriendo a una videollamada.
Desde la popularización de las IA generativas hasta hoy ha pasado un periodo de tiempo extraordinariamente breve. Hace un año, la mayoría de la población no sabía qué eran ChatGPT o DALL-E. Sin embargo, en estos meses hemos asistido a una mejora continua de los resultados que se obtienen gracias a estos sistemas de Inteligencia Artificial.
Tal es así, que ya no solo es posible clonar la voz, sino sumar a ello la clonación de nuestros rostros y conseguir crear deepfakes audiovisuales.
¿Cómo afecta esto al fraude del CEO? Complejiza aún más la detección de las estafas. ¿Por qué? Quizás una persona esté lo suficientemente concienciada como para desconfiar de una orden con implicaciones financieras que se recibe a través de un email. A lo mejor, a la luz del incremento de estafas, un directivo también desconfíe de una llamada telefónica, aunque conozca a la perfección a la voz que está del otro lado. Pero… ¿cómo va a desconfiar un profesional de una orden que le transmite su superior jerárquico al otro lado de una pantalla mientras puede ver su rostro y escuchar su voz?
6. La IA también es útil para perfeccionar todos los elementos del engaño
El perfeccionamiento del fraude del CEO gracias a la IA no se debe, solo, al uso del deepfake, aunque esta técnica para falsear videos, imágenes y sonidos sea la principal responsable de la evolución de esta clase de estafa.
Los sistemas de Inteligencia Artificial también pueden ser muy útiles a la hora de:
- Redactar los mensajes a las víctimas, replicando, incluso, la forma de expresarse de las personas suplantadas.
- Replicar la identidad corporativa de los emails.
- Elaborar la documentación que se emplea durante el fraude del CEO: órdenes de pago, facturas, contratos…
Cualquier mínimo detalle puede activar la suspicacia de la víctima del fraude del CEO y llevarla a compartir sus dudas con otras personas, lo que provocaría el fracaso de la estafa. De ahí que a diferencia de, por ejemplo, un phishing masivo, esta clase de timo tenga que estar cuidado al milímetro. Esto conlleva una gran inversión en recursos y tiempo por parte de los grupos criminales, de cara, también, a hacerse con millonarios botines.
En este sentido, la Inteligencia Artificial no solo permite a los actores maliciosos perfeccionar sus estrategias y metodologías, sino también reducir el tiempo que tienen que dedicar al diseño y ejecución de los ataques.
7. Is this the real life? Is this just fantasy?
El perfeccionamiento de los deepfakes y el creciente número de fraudes ha provocado que nos resulte una tarea ardua discernir qué es real y qué no. De ahí que muchas personas reproduzcan en su cabeza el primer verso de Bohemian Rapsody de Queen: ¿Esto es la vida real? ¿O solo es una fantasía? Si a un directivo financiero lo llama el CEO de su compañía, con el que mantiene una relación estrecha desde hace años y cuya voz y forma de expresarse conoce a la perfección, ¿tiene que pensar que se trata de un engaño?
La filosofía zero trust ha estado presente en el ámbito de la ciberseguridad desde hace mucho tiempo, si bien, se ha vuelto más popular en los últimos años, al calor del incremento de los ciberataques y las amenazas contra empresas.
El enfoque zero trust aboga, como su propio nombre indica, por abordar la protección desde una ausencia total de confianza. Lo que se traduce, por ejemplo, en cumplir con el principio del mínimo privilegio.
En la era de los deepfakes, actuar con desconfianza se ha convertido en una cuestión central. Sin embargo, ¿podemos ser suspicaces todo el rato y en todas nuestras interacciones? Es importante encontrar el equilibrio que nos permita actuar con precaución sin acabar poniendo en tela de juicio cualquier comunicación que recibamos, puesto que, de lo contrario, las empresas no podrían operar con normalidad. En esta tarea juega un papel fundamental la formación en ciberseguridad.
8. Proactividad e innovación para proteger a las empresas y sus directivos
¿Cómo pueden las empresas y sus cargos directivos protegerse frente la técnica del fraude del CEO perfeccionada gracias al deepfake?
Es esencial la proactividad y contar con profesionales de ciberseguridad especializados en:
- Diseño y ejecución de test de ingeniería social para:
- Concienciar a los profesionales de una organización ante los peligros del fraude del CEO y otras técnicas que se han sofisticado gracias al deepfake en particular y la IA en general.
- Evaluar el nivel de madurez de la organización frente a estos fraudes y tomar medidas para incrementar la protección.
- Servicios de ciberinteligencia como el counter-phishing para detectar campañas de ingeniería social, así como riesgos organizacionales y prevenir los fraudes que puedan afectar a una compañía y sus cargos directivos.
- Servicios de Threat Hunting para supervisar de manera continua la infraestructura de la organización y detectar de manera proactiva ataques dirigidos como el fraude del CEO.
- Escenarios de Red Team para simular un ataque de fraude del CEO empleando deepfake, de cara a evaluar la capacidad de detección y respuesta de la compañía.
A mayores, los expertos de ciberseguridad deben apostar por la formación continua, la investigación y la innovación para adaptar sus servicios y estrategias a las transformaciones tecnológicas asociadas a las IA generativas, pero también a los nuevos TTP de los actores maliciosos.
8.1. Investigación y vigilancia para prevenir graves consecuencias económicas y legales
En definitiva, el fraude del CEO es una técnica de ataque que ha generado cuantiosas pérdidas económicas a numerosas empresas en todo el mundo. Además, esta tipología de ataque dirigido puede convertirse en una de las mayores amenazas en los próximos años gracias a las IA generativas que no solo permiten a los delincuentes perfeccionar mensajes o clonar voces, sino que abren la puerta a la realización de videollamadas falsas que pueden resultar indetectables por las víctimas del ataque.
Por eso, es fundamental contar con expertos en ciberseguridad que lleven a cabo labores de vigilancia continua y ayuden a las empresas a establecer procesos de comunicación legítimos y confiables.
En juego no están solo fraudes económicos que pueden llegar a ser millonarios y afectar gravemente a la solvencia de las empresas, sino también la responsabilidad legal ante un fraude del CEO exitoso.
De hecho, si retomamos el caso real con el que abrimos este artículo, actualmente la Justicia está determinando si, más allá de los ciberdelincuentes, también existe una responsabilidad contable y penal de la directiva que fue víctima del fraude y de la entidad bancaria que tramitó los pagos. Por ahora, la directiva ha sido condenada a pagar los 4 millones de euros estafados al ser considerada responsable directa. Una sentencia que evidencia las graves repercusiones que puede tener un fraude del CEO tanto para las compañías como para sus directivos.
Este artículo forma parte de una serie de articulos sobre IA y ciberseguridad
- ¿Cuáles son los riesgos de seguridad de la IA?
- Top 10 de vulnerabilidades en aplicaciones LLM como ChatGPT
- Buenas prácticas de ciberseguridad para la IA
- Fraudes con Inteligencia Artificial: Nueva tecnología, viejos objetivos
- IA, deepfake y la evolución del fraude del CEO
- ¿Cómo será el futuro de la IA y la ciberseguridad?
- Los riesgos de usar IA generativa en las empresas: Protege tus secretos
- Reglamento de IA: Requisitos de ciberseguridad de los sistemas de IA de alto riesgo
- MITRE ATLAS: ¿Cómo se puede atacar a las IA?