El fraude de CEO mediante correo electrónico es cosa del pasado. El fácil acceso a la inteligencia artificial permite a los ciberdelincuentes imitar voces y rostros para obtener dinero o información. Hoy en día, este tipo de ataques con deepfakes ya ocurren cada cinco minutos.

Los deepfakes basados en IA son la razón por la que las empresas, es decir, sus empleados, caen en la trampa. Detrás de voces aparentemente familiares se encuentran cada vez más a menudo delincuentes.

Este tipo de ataques con deepfakes y la falsificación de documentos digitales aumentaron en un 244 por ciento en 2024 y se han convertido en una amenaza cada vez mayor para las empresas. En particular, el vishing asistido por IA, un término híbrido entre phishing y voz (voice), es decir, ataques telefónicos mediante voces generadas por inteligencia artificial, representa un peligro creciente tanto para empresas como para particulares. Según la consultora Deloitte, los daños económicos provocados por ataques de deepfakes asistidos por IA podrían ascender hasta 40.000 millones de dólares en 2027, más del triple de los 12.300 millones registrados en 2023.

Como informa it-daily.net, este año ya ha ocurrido un ataque con deepfake cada cinco minutos, siendo especialmente los intentos de estafa asistidos por IA los que están en auge y cada vez son más sofisticados. Los ciberdelincuentes continúan adaptando sus técnicas para eludir los mecanismos de defensa.

EMEA mejor preparada que APAC y América

Actualmente, los atacantes se centran especialmente en los procesos de incorporación (onboarding). Los intentos de fraude en esta fase particularmente vulnerable han aumentado en la región EMEA del 3,1 al 3,4 por ciento. Las cifras son aún más graves en la región APAC (6,8 por ciento) y en América (6,2 por ciento). Esto se debe también a las normas más estrictas de conocimiento del cliente (KYC) y de incorporación en Europa.

Además, la verificación digital de la identidad debería ser un componente esencial de todo proceso de incorporación, con el fin de prevenir y evitar fraudes y delitos financieros desde el principio.

A pesar de todas las medidas de seguridad, existen numerosos ejemplos de intentos e incluso ataques con deepfakes exitosos incluso contra empresas reconocidas. Un importante fabricante italiano de automóviles de lujo se libró por poco, cuando un directivo desconfió y logró desenmascarar al supuesto CEO mediante preguntas específicas.

Cuando no obtuvieron respuesta a sus primeras solicitudes por correo, los estafadores realizaron una llamada con una voz engañosamente real del CEO, incluido su acento del sur de Italia.

Daños que pueden alcanzar millones

Este intento, aunque fracasado, podría haber tenido consecuencias mucho más graves. Así ocurrió, por ejemplo, hace un año con un banco en Hong Kong, cuando unos estafadores utilizaron un deepfake en video del director financiero para obtener 200 millones de dólares de Hong Kong, casi 25 millones de euros, el mayor fraude financiero asistido por IA hasta la fecha a nivel mundial. Estos casos están aumentando rápidamente.

El sector financiero y sus clientes son especialmente vulnerables a los deepfakes o al fraude telefónico asistido por IA. Sin embargo, otras industrias también se ven cada vez más afectadas. Así lo experimentó recientemente una compañía energética británica, o más bien su empresa matriz alemana. Ciberdelincuentes utilizaron el vishing para convencer a un alto directivo en el Reino Unido de transferir 243.000 dólares estadounidenses, o 217.000 euros, a un supuesto proveedor en Hungría.

Las principales contramedidas

A partir de los métodos utilizados por los atacantes y de las reacciones habituales de las empresas afectadas, pueden derivarse las siguientes tres contramedidas:

1. Establecer reglas claras para los protocolos de comunicación y asegurarse de que todos los procesos internos que afecten a los directivos estén estandarizados y sean siempre verificables. Debe quedar claro, por ejemplo, que un CEO nunca iniciará personalmente una transferencia de grandes cantidades de dinero por correo electrónico o por teléfono, ni hará otras solicitudes inusuales.
2. Implementar un sistema de verificación multicanal y asegurarse de que toda comunicación importante se realice a través de al menos dos canales, por ejemplo, correo electrónico y servicio de mensajería. Si una instrucción importante llega solo por un canal, los empleados deberían ignorarla o solicitar confirmación a través de un segundo canal de comunicación.
3. La formación regular de empleados es clave para la seguridad informática en general y para los deepfakes en particular. Tal como se mencionó al principio, todo comienza con la sensibilización sobre lo que significa este término. Según una encuesta de Bitkom, el 30 por ciento de los alemanes no sabe qué es un deepfake. Son necesarias formaciones para mostrar qué tácticas utilizan los estafadores, qué se entiende por vishing y cómo se debe reaccionar ante ello.

Para minimizar el daño financiero o evitar que se produzca desde un principio, las empresas deberían adoptar un modelo de seguridad estricto de tipo Zero Trust y asegurarse de que toda comunicación sea autenticada tras una verificación exhaustiva.

Además, nuevas regulaciones en la UE obligan a las empresas a adoptar mejores medidas de seguridad.

Imagen de portada: Adobe Stock / WrightStudio