En junio de 2022, el FBI emitió un anuncio de servicio público alertando a las organizaciones sobre un nuevo riesgo de ciberseguridad: los empleados deepfake. Según la alerta, se ha producido un aumento de los ciberdelincuentes que utilizan "deepfakes e información de identificación personal (PII) robada para solicitar una variedad de puestos de trabajo a distancia y de trabajo desde casa."
Los deepfakes son vídeos o imágenes creados con software de inteligencia artificial para mostrar a personas diciendo y haciendo cosas que no dicen ni hacen. En este caso, los atacantes utilizaban PII para robar identidades y crear deepfakes con el objetivo de asegurarse puestos de trabajo.
El FBI informó de que los atacantes utilizaron deepfakes para solicitar puestos en "tecnología de la información y programación informática, bases de datos y funciones laborales relacionadas con el software."
¿Por qué los delincuentes utilizan deepfakes para solicitar empleo?
Los ciberdelincuentes utilizan cada vez más los deepfakes para cometer delitos en línea. Por ejemplo, los deepfakes pueden utilizarse para dar credibilidad a identidades sintéticas, en las que el delincuente crea personas falsas que no existen. Los deepfakes también pueden utilizarse para la apropiación de cuentas, en la que se utiliza un deepfake de una persona real para acceder a sus cuentas.
En ambos casos, el objetivo suele ser el beneficio económico: abrir una tarjeta de crédito y sacarle el máximo, o robar dinero de la cuenta de alguien.
Entonces, ¿por qué utilizar un deepfake para adquirir un papel en la tecnología? No es sólo por un sueldo mensual. La verdadera amenaza es que, al conseguir un puesto técnico en la empresa, el atacante tiene acceso a "información personal de clientes, datos financieros, bases de datos informáticas corporativas o información privada", según el FBI.
Los atacantes pueden entonces utilizar estos datos robados para pedir un rescate a la empresa o llevar a cabo nuevos ataques.
¿Cómo conocemos a los empleados de Deepfake?
El FBI tuvo conocimiento de estos hechos fraudulentos cuando recibió varias denuncias IC3 (Internet Crime Complaint Center) de las organizaciones que realizaban las entrevistas. Los denunciantes informaron de que habían detectado spoofing y vídeos deepfake al hablar con los candidatos. Durante las llamadas ocurrían cosas extrañas, como que las bocas y los labios no coincidían con las palabras que se decían en pantalla.
Así pues, estos deepfakes parecen bastante fáciles de detectar. Pero no olvidemos que estos fueron los intentos de deepfake que fracasaron. Lo que no queda claro en el anuncio es cuántos tuvieron éxito.
¿Pueden las entrevistas en vídeo detectar un Deepfake?
La pandemia mundial no dio origen al trabajo a distancia, pero sin duda lo hizo más común. A medida que se fueron implantando medidas de distanciamiento social, los trabajadores de todo el mundo cambiaron la oficina por el hogar.
Aunque las normas de distanciamiento social son ya cosa del pasado en muchos países, el trabajo a distancia no lo es.
El trabajo a distancia tiene ventajas reales. Para los empresarios, amplía el abanico de talentos. Barreras como la distancia geográfica ya no son un problema. Los responsables de contratación pueden contratar a los mejores talentos en cualquier parte del mundo.
Además, los empleados quieren trabajar a distancia. Según una encuesta del Centro de Investigación Pew, el 61% de los trabajadores estadounidenses declararon que trabajaban a distancia por elección propia.
Pero las oportunidades vienen acompañadas de amenazas. La propia naturaleza del trabajo a distancia traza una distancia entre el empresario y el empleado. Puede que nunca se conozcan en persona. Resulta muy difícil verificar que alguien es quien dice ser cuando solicita un puesto.
Se podría pensar que hablar con alguien por videollamada resolvería este problema. Seguro que, como humanos, somos lo bastante hábiles para distinguir entre un ser humano real y una imitación digital.
Pero no es así. La aparición de deepfakes cada vez más convincentes ha mermado nuestra capacidad para distinguir entre una persona real y un deepfake. Por lo tanto, confiar en nuestras capacidades -o en las de nuestros colegas- para hacer esta distinción crea un riesgo. Esto también cuestiona la eficacia de cualquier tipo de entrevista por vídeo como medida de seguridad. El ojo humano puede ser falsificado. ¿Podemos estar completamente seguros de que la persona con la que hablamos es real?
Los deepfakes también son cada vez más fáciles de producir. Con un simple plug-in, los atacantes pueden crear lo que se denomina "deepfake en tiempo real". Se trata de superponer imágenes para distorsionar un vídeo. A continuación, este vídeo puede transmitirse a los canales de comunicación de las llamadas de videoconferencia.
La naturaleza rápida, fácil y asequible de las deepfakes y las deepfakes en tiempo real significa que proporcionan un método escalable para cometer actividades fraudulentas. A medida que sigamos trabajando y contratando personas a distancia, los ciberdelincuentes desarrollarán deepfakes cada vez más convincentes para acceder a puestos de empleo.
¿Cómo puede la autenticación biométrica ayudar a los empresarios a combatir las falsificaciones?
Esta amenaza creciente debería preocupar a los empresarios de todos los sectores. Pero hay una solución.
La tecnología biométrica facial puede utilizarse para verificar que una persona es quien dice ser cuando realiza una actividad en línea, como abrir una cuenta bancaria o solicitar un empleo.
En este caso, un solicitante podría verificarse a sí mismo al presentar su solicitud. Podría escanear un documento de identidad con fotografía, como el carné de conducir, el pasaporte o el DNI, y luego escanear su rostro físico para demostrar que es quien dice ser.
Sin embargo, esto no prueba que sean reales. Un rostro no se puede robar, lo que hace que la biometría sea muy segura, pero un rostro se puede copiar con una fotografía o deepfake.
Si quieres protegerte contra las falsificaciones, tienes que verificar que una persona es la correcta, pero que también es una persona real, y que se está autenticando en este momento.
¿Puede Liveness detectar a los empleados de Deepfake?
Liveness es una forma de verificación facial que puede detectar si el rostro que se presenta a la cámara es un ser humano real y vivo. También detecta si se trata de la persona correcta.
Por lo tanto, la detección de actividad puede detectar si alguien está presentando una imagen, grabación o máscara de la víctima a la cámara. También puede identificar una deepfake si se presenta ante la cámara.
Sin embargo, lo que la liveness no puede hacer es proteger contra ataques escalables inyectados digitalmente. Estos ataques pueden eludir completamente los sensores del dispositivo. Vea cómo funcionan los ataques inyectados digitalmente.
¿Cómo puede detectar Deepfakes Genuine Presence Assurance®?
Genuine Presence Assurance (GPA) es la única manera de comprobar que una persona remota, que está afirmando su identidad, es la persona correcta, una persona real y que se está autenticando en este momento.
GPA es capaz de identificar si una persona que afirma su identidad es un ser humano real. Pero también está diseñado para detectar ataques de inyección digital, es decir, aquellos que suelen utilizar falsificaciones para eludir los sensores del dispositivo y burlar el sistema.
Mientras que liveness puede proteger contra amenazas conocidas -principalmente amenazas de presentación (artefactos físicos y digitales mostrados en una pantalla)-, GPA ofrece defensas contra ataques de inyección digital sintética conocidos, nuevos y en evolución.
Lo hace con la tecnología Flashmark™ de iProov, que ilumina la cara del usuario remoto con una secuencia de colores única y aleatoria. Esto mitiga el riesgo de repeticiones o manipulaciones sintéticas, evitando la suplantación de identidad.
Más información sobre la Garantía de Presencia Genuina aquí.
La amenaza Deepfake: Una carrera armamentística
A medida que las falsificaciones profundas se hacen más sofisticadas, también debería hacerlo la seguridad biométrica que se utiliza para combatirlas.
En iProov, utilizamos tecnología de aprendizaje automático, personas y procesos para detectar y bloquear ciberataques, incluidos los deepfakes. Al hacerlo, aprendemos constantemente de esos ataques. Esto ayuda a prevenir el fraude, el robo, el blanqueo de dinero y otros delitos graves en línea hoy y mañana.
Solicitudes de empleo deepfake: Un resumen
- El FBI ha advertido de que los delincuentes utilizan deepfakes para solicitar empleos tecnológicos a distancia.
- Al asegurarse un puesto en una organización, el delincuente obtiene acceso a los sistemas y a la información de identificación personal, lo que puede dar lugar al robo de datos y a rescates.
- El trabajo a distancia está aquí para quedarse. Pero realizar entrevistas en vídeo no es un método eficaz para detectar deepfakes, ya que el ojo humano puede ser engañado.
- Si las organizaciones van a seguir contratando a distancia, deben establecer salvaguardias para verificar que los candidatos son quienes dicen ser.
- La Garantía de Presencia Genuina de iProov y su compromiso en la lucha contra los deepfakes y otros ataques sintéticos o inyectados digitalmente mitigan estos riesgos.
Si desea obtener más información sobre cómo iProov puede ayudarle a protegerse contra los delitos de deepfake mediante la tecnología de biometría facial, descargue hoy mismo nuestro informe completo Work From Clone:
