La famosa técnica de deepfake tiene sus orígenes en la generación de rostros en las redes neuronales GAN mediante Deep Learning, que consiste en generar rostros hiper realistas mediante inteligencia artificial.

Estos rostros son utilizados mayormente en perfiles falsos de redes sociales y empresas como Adobe, Facebook y Microsoft, están trabajando en ingeniería inversa para poder detectar este tipo de fotos y saber si son reales o no, ya que el nivel de perfección que existe hoy en día hace casi imposible determinarlo.

En los últimos tiempos los Deep Fake se han puesto de moda gracias a aplicaciones móviles, que mediante una pequeña suscripción, permiten subir fotos y realizar cientos de efectos con escenas pregrabadas y compartir en las redes sociales a la velocidad de la luz sin apenas esfuerzo. Hoy en día con la potencia de cómputo de los smartphones y la optimización del software de las Apps, se puede realizar en minutos, pero no olvidemos que hace años se necesitaban ordenadores muy potentes para poder realizar estas tareas (sin ir más lejos sólo la industria del cine contaba con la capacidad suficiente para poder realizarlo). La popularidad de esta tecnología ha hecho que los hackers hayan pensado como sacar rédito y han empezado (con bastante éxito) a explotar las posibilidades que tiene de diferentes maneras:

  • Ataque al CEO 2.0 / suplantación de identidad: Ataque históricamente basado en correo electrónico. Ya se han notificado ataques donde a través de videollamada el CEO contacta con la victima pidiendo información sensible. Gracias a la información que se sube en redes sociales y la que hay en la prensa, es fácil obtener fotografías de diferentes ángulos para poder generar un modelo capaz de suplantar a una persona en una videollamada en tiempo real.
  • Deep Fake Voice cloning: Técnica basada en la clonación de la voz para realizar operaciones bancarias y obtener información al estilo Ataque al CEO.
  • Ciberextorsion: ¿Quién no ha recibido un correo diciendo que tienen imágenes íntimas nuestras y que si no se paga un rescate se enviaran a todos nuestros contactos? Ahora con deepfake y Voice cloning se puede crear lo que se quiera a partir de extractos de voz y con unas pocas imágenes, poder hacer chantajes más realistas enviando extractos de videos hiper realistas.
  • Generación de Fake news con personajes famosos que pueden hundir su reputación.
  • Perfiles falsos en redes sociales: Con la generación de imágenes hiper realistas se generan millones de perfiles falsos en las RRSS (Facebook borró 1.7 billones de cuentas falsas en el último trimestre de 2021).
  • Suplantación en entrevistas técnicas: Debido al confinamiento y el teletrabajo, muchos procesos de selección con exámenes se realizan de manera remota lo que podría dar lugar a suplantación de candidatos para la realización de pruebas técnicas.

Rizando el rizo ¿por qué no obtener una base de datos con los teléfonos y DNIs de los clientes de una sucursal bancaria, conseguir fotos de su director en redes sociales, llamar a los clientes con la identidad suplantada y pedirles los datos para acceder a la banca electrónica alegando problemas informáticos? Sabiendo que los usuarios no se fían de los SMS ni de los correos electrónicos debido a la popularidad de esos ataques ¿cómo no se van a fiar de una llamada del director de su sucursal? …

Grandes empresas especializadas en procesamiento gráfico han querido sacar otras utilidades a la Inteligencia artificial, como por ejemplo retocar las videollamadas para parecer que miramos a la cámara dando la sensación de permanecer atentos mirando a los ojos del interlocutor. Puestos a pensar ¿dispondremos de una aplicación para emular que estamos en una videoconferencia mientras estamos durmiendo? ¿qué otras utilidades se crearán a corto – medio plazo?

Los estudios y análisis realizados hasta la fecha han estimado un 43% de aumento de tráfico en la Deep Web relacionado con ataques de tipo deepfake desde 2019, un 90% de los robos de datos se realizan a través de phishing e ingeniería social, 250M$ de coste estimado por estafas realizadas por deepfakes en 2020 (fuente: forrester).

A todo ello se une que el 80% de las empresas ya reconocen la amenaza que suponen los deepfakes pero sólo un 30% toma acciones o medidas para protegerse (fuente: pandasecurity).
El futuro que nos espera es incierto y con el teletrabajo dispuesto a quedarse, las videoconferencias a la orden día, y la vida digital abriéndose camino en nuestras vidas humanas, no tenemos que dar por real todo lo que vemos, y ante cualquier duda que tengamos, siempre comprobar que hablamos con quien se supone que hablamos…

Mario Muñoz Gómez. Responsable Desarrollo Ciberseguridad DXC Technology