No es el primer ataque de estas características, ya que tuvimos el primero hace dos años, cuando se utilizó por primera vez servicios cognitivos de Inteligencia Artificial para robar 220.000 € a una empresa clonando la voz del CEO. Ahora, se trata de un ataque similar en el que han conseguido, clonando la voz del director de la empresa, convencer por medio de una llamada de teléfono con voz clonada y mensajes de correo electrónico - de forma coordinada - convencer al director de una sucursal bancaria de hacer dos transferencias por un valor de 35 Millones de USD en total, como cuenta la revista Forbes.
El ataque mezcla dos ataques que ya se conocen para hacer todo mucho más creíble. Primero controlan el correo electrónico, que puede hacerse por medio de un robo de Tokens OAuth como hemos explicado muchas veces, o con directamente un robo de identidad, para pedir la transferencia al responsable del banco y luego el uso de la Inteligencia Artificial para hacer la llamada de teléfono mucho más creíble, como sucedió en el caso de hace dos años. De esta forma, se gana la confianza del miembro de la sucursal que al final es el que hace el movimiento de capital.
En este ataque, las técnicas de ingeniería social cuentan con mucha importancia, porque hay que meter presión e importancia al tiempo. Así, en esta ocasión el gancho era una operación empresarial de 35 millones de euros que, como se puede ver en la documentación oficial del caso, acabó terminando en las dos transferencias de dinero a las cuentas de los estafadores.
Las técnicas de clonación en tiempo real de voz con inteligencia artificial, como ya contamos en la charla de este año que di en la Open Expo titulada "Blade Runners & Virtual Replicants" y que podéis leer en el artículo de este verano, están ya muy avanzadas, y recibir una llamada de teléfono de una persona que tiene su voz grabada en muchos vídeos de Internet, charlas, conferencias, etcétera, ya no es una forma para un ser humano de identificación segura, pues la IA puede pasar ese "Test de Turing" y tenemos que trabajar en los nuevos Tests de Voight-Kampff.
Figura 4: BladeRunners & Virtual Replicants con DeepFakes
Así que, si tienes procesos de movimientos de capitales en tu empresa que validas con llamadas de teléfono de verificación, probablemente vas a tener que mejorarlos y fortificarlos, porque puede ser un foco de problemas en el futuro con el avance de estas técnicas de engaño, que la IA es capaz de recrear la voz de personas que incluso la han perdido, como sucedió con el actor Val Kilmer.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Pues yo creo que se les durmió la memoria por que es muy fácil ahora hacer mejor una video llamada y se hubieran ahorrado 400.000 usd
ResponderEliminarLo fácil es confiarse y equivocarse hay software para suplantar tanto tu voz como tu cara en una videollamada, la clave es el error humano, sin error humano no hay hackeo ni robo de hay lo de ingeniería social ...
ResponderEliminarBueno, de ahora en adelante se tendrá que confirmar por llamada telefónica la transacción y que ambas partes compartan una contraseña que se dicte por voz... "dime la contraseña para aprobar la transacción" R:"spiderman 2099 **" ok aprobado y se procede con la transacción, de lo contrario ahí se quedarán esperando la transferencia. Ni voz ni video porque ambas pueden ser creadas con IA.
ResponderEliminarSaludos desde Panamá.