La relación entre la Ingeniería Social, la Inteligencia Artificial y la ciberseguridad, siempre ha estado y estará ahí, para lo bueno y para lo malo. Y, entrelazada entre ellas se encuentra, fuertemente anudada, la debilidad humana, la vulnerabilidad humana, el factor humano.
En torno a ello existen múltiples riesgos y amenazas en los que intervienen todos o parte de estos factores que, combinados como si de un peligroso cocktail molotov de tratase, contribuyen a la generación de ciberincidentes que, aunque parezca increíble, e la mayoría de los casos, son “apoyados”, “auspiciados” y “llevados a cabo” por las propias personas o víctimas atacadas.
Sí, las personas son uno de los principales vectores de ataque. Basta con que una persona realice una determinada acción, para que un ciberataque tenga éxito, ya sea este complejo, o de lo más simple. La clave es el engaño y la capacidad de convicción.
Es cierto que existen tecnologías y mecanismos muy complejos, potentes y robustos que los ciberdelincuentes pueden emplear y emplean a diario en sus ciberataques. Pero, sin duda de ninguna clase, el factor humano es determinante en la mayoría de los casos.
Obviamente, hablamos de la Ingeniería Social y de cómo, a través de ella, se puede lanzar una determinada “comunicación” o “solicitud” a una persona, para que esta sea lo más convincente posible, logrando así que el destinatario haga lo que se quiere que haga.
El poder “sensibilizar” a alguien, el poder persuadirlo, el poder ponerle “de tu lado”, el convencerle, es vital importancia en la cadena de ataque. Cuanto más fidedigna parezca la comunicación, mayor grado de éxito obtendrá y, por tanto, mayor logro de objetivos e impacto.
No es lo mismo escribir un email cualquiera, de una persona cualquiera, a cualquier destinatario, pidiéndole que haga algo, que hacerlo mediante un email de suplantación de identidad del director general de la empresa (ataque tipo BEC -Business Email Compromise-, y/o fraude del CEO), con un contenido más que reconocible, razonable y creíble, enviado a un empleado susceptible de caer en el engaño y de realizar la acción/tarea que se le solicita.
Este es un ejemplo bien “simple”, realmente. Pero, ¿y si a este modelo de ataque de ingeniería social lo aderezamos además con Inteligencia Artificial y otro tipo de tecnologías que lo convierta en mensaje mucho más convincente e ineludible? ¿Y si, por ejemplo, lo acompañamos de un audio o de un vídeo (falsos, por supuesto, pero de gran calidad), en el que quien aparece es el propio director general solicitando realizar esa acción (aunque en realidad no sea así)?
¡Ya estamos en la era del ciberataque que puede emplear la inteligencia artificial para robustecer los mensajes de ingeniería social, realizando una excelente e indiscutible suplantación de identidad, barrenando así cualquier medida de ciberseguridad que podamos tener establecida: el empleo de Deepfakes (de vídeos y/o de audio)!
La solución y la defensa radica, por tanto y en buena parte, en la concienciación, la formación, la capacitación y el pensamiento crítico que permita analizar convenientemente el escenario del intrincado equilibrio entre ingeniería social, la inteligencia artificial y la ciberseguridad, en la era de los deepfakes, siendo capaces de gestionarlo adecuadamente.
En la intersección de la ingeniería social, la IA y la ciberseguridad se desarrolla una trilogía compleja que plantea desafíos y oportunidades en la era digital actual. Mientras estas disciplinas convergen, surgen nuevas amenazas, siendo los deepfakes (de vídeo o de audio) una de las manifestaciones más preocupantes.
La ingeniería social es un arte ancestral de manipulación que ha llegado a encontrar un terreno fértil en la era digital. El aprovecharse del factor humano, de su sensibilidad, de su psicología, es el objetivo. Para lograrlo, los ciberdelincuentes utilizarán todo tipo de técnicas y tácticas para engañar y obtener información confidencial u otros objetivos. La persuasión online, la manipulación de opiniones, el manejo de tendencias y creencias, la convicción, el sesgo, son hijos de la ingeniería social.
Mientras que la ingeniería social se basa en la comprensión de las emociones y comportamientos humanos, permitiendo estrategias de persuasión más efectivas (lo que se conoce como el entendimiento humano profundo), la confianza excesiva y la falta de conciencia/concienciación, pueden hacer que las personas caigan en trampas diseñadas para explotar sus debilidades (lo que conocemos como vulnerabilidades humanas).
La inteligencia artificial cuenta con capacidades avanzadas de aprendizaje, replicar patrones y generación de contenidos nuevos inexistentes hasta el momento (inteligencia artificial generativa). Esto ha supuesto un nuevo hito de enrome relevancia en la creación de contenido digital. Desde la generación de textos hasta la creación de imágenes y videos, la IA generativa ha ampliado exponencialmente las posibilidades de manipulación.
Esto supone un gran paso en cuanto a innovación y eficiencia ya que la IA permite avances significativos en diversas industrias y sectores. Sin embargo, también permite la manipulación de contenido que puede ser utilizada para crear contenido falso y engañoso.
La información es poder. Siendo ésta, la información un activo tan valioso como es, la ciberseguridad se ha convertido en una línea de defensa crucial. Proteger los datos y la infraestructura digital es esencial para garantizar la integridad y la confidencialidad.
En este sentido, podemos adoptar un modelo de protección o defensa activa, utilizando medidas proactivas para identificar y mitigar amenazas antes de que se pongan a trabajar, causando el daño e impacto que buscan.
Pero, la evolución de los tipos de amenazas, a medida que la tecnología avanza, también lo hacen que las tácticas de los ciberdelincuentes avancen con ellas, desafiando constantemente las estrategias de defensa.
Los deepfakes, como decíamos, pueden ser fruto o producto de la conjunción de estas tres disciplinas: la ingeniería social, la inteligencia artificial generativa y la existencia de medidas de ciberseguridad (tecnológicas o no). Desde esta perspectiva, muy lejos de suponer una ventaja competitiva, representan una amenaza significativa. La capacidad de crear contenido falso, ya sea imitando voces, o recreando imágenes, rostros, animaciones y vídeos de manera tan convincente, plantea riesgos para la confianza en la información y su veracidad.
Por un lado, el potencial creativo de la IA generativa en aspectos tales como el de la formación y el entretenimiento, la aplicación en actividades documentales, creativas y artísticas, en automatizaciones, etc., tiene su faceta más positiva. Sin embargo, la desinformación y la posverdad, son el reverso de la moneda, que emplea deepfakes de forma maliciosa para crear noticias falsas (fake news) y socava la confianza en la información.
Entonces, ¿cómo podríamos detectar un deepfake y protegernos de él? Podría hacerse por mera intuición, conocimiento específico, experiencia y análisis humano, e incluso empleando herramientas específicas para ello que pueden ser el garante de la lucha futura contra este tipo de actividad desde el campo de la ciberseguridad:
- Formación, concienciación y entrenamiento sobre deepfakes, para educar a las personas a reconocer este tipo de elementos y la posibilidad de manipulación de los mismos, empoderándolas para que identifiquen correctamente este tipo de contenido sospechoso y hagan caso omiso de él.
- Verificación de fuentes y contenidos que, quizá como parte del punto anterior, permita a las personas confirmar o desmentir la autenticidad de las fuentes y los contenidos sobre los que versa el deepfake analizado, contrastando las fuentes y orígenes de los que parecen llegar e incluso el propio contenido sospechoso con otros archivos de los que tenemos certeza que son auténticos y conocidos. Así podríamos encontrar distinciones y discrepancias.
- Análisis facial y de movimientos del vídeo deepfake, examinando detenidamente la sincronización entre los labios y la voz (el sonido), así como la coherencia de los movimientos faciales al unísono con el contexto, podría ser, aunque complejo (y más a medida que esta tecnología avance y mejore) un modo de llegar a revelar las posibles inconsistencias en dicho vídeo. Es una opción en la que sería más recomendable contar con herramientas y software específico para realizar dicho análisis.
- Del mismo modo, en el caso del análisis de audio, el poder contar con herramientas especializadas para analizar los patrones de frecuencia y entonación de la voz, permitiría detectar anomalías en las grabaciones de sonido.
- Otro aspecto importante a tener en cuenta sería la identificación, análisis y verificación de los metadatos del fichero de vídeo, que podría dar pistas sobre su autenticidad y origen, aunque esta asignación de metadatos también podría evolucionar de forma que fueran más creíbles.
- Regulación normativa y legal en plataformas de contenidos, que eviten (tanto tecnológicamente como desde el punto de vista legal y de cumplimiento normativo) la publicación y propagación de deepfakes y contenido engañoso.
- Desarrollo de tecnologías de detección de deepfakes que, mediante la investigación y el desarrollo de software y herramientas puedan identificar, automáticamente y de forma lo más efectiva posible, los deepfakes.
- Inteligencia artificial defensiva que, como parte del punto anterior, permitiría emplear tecnologías y algoritmos de aprendizaje para detectar patrones de manipulación en imágenes, sonido y vídeos.
En la lucha contra los deepfakes, la educación es vital. Además, la investigación para mejorar las tácticas, técnicas y algoritmos de detección y la implementación de tecnologías defensivas, serán esenciales para mantener la integridad de la información, garantizando su veracidad, evitando la manipulación y logrando conseguir un elevado nivel de confianza digital.
¿Has tenido constancia de la recepción de algún deepfake en tu empresa? En Zerolyx somos especialistas y contamos con servicios profesionales de inteligencia, ciberinteligencia y ciberseguridad, con los que poderte ayudar: Servicios de Ciberseguridad. Si lo prefieres, contáctanos y hablamos.
