CÓMO RECONOCER LLAMADAS FALSAS CON IA

La IA generativa ha facilitado la creación masiva de audios y videos falsos, eliminando la confianza en lo que se ve y se oye. Las deepfakes se utilizan para evadir controles, infiltrarse en procesos de selección y, sobre todo, cometer fraudes financieros y secuestrar cuentas ejecutivas. Con millones de clips falsos circulando y cifras en aumento, muchas organizaciones aún subestiman esta amenaza creciente.

Cómo funcionan los ataques?
Todo lo que se requiere es un clip corto de la víctima para ser suplantado. GenAI hará el resto. Así es como podría proceder un ataque

1. El atacante elige a la persona que suplantará, como un CEO, CFO o proveedor.
2. Obtiene una muestra de audio pública de redes, entrevistas o presentaciones; pocos segundos suelen ser suficientes.
3. Identifica al objetivo interno, investigando en fuentes como LinkedIn a personal de TI o finanzas.
4. Puede preparar el terreno con un correo previo solicitando transferencias, restablecimientos de contraseña o pagos urgentes.
5. Llama usando un audio deepfake para hacerse pasar por la persona elegida, ya sea con un guion fijo o con conversión de voz en tiempo real.

Oír para creer
Estos ataques son cada vez más accesibles y realistas: las herramientas pueden añadir ruido, pausas e imitar con precisión la voz y los tics del suplantado, lo que dificulta detectar fallos, especialmente por teléfono. Sumado a la presión de urgencia y la suplantación de altos ejecutivos, la ingeniería social aumenta las probabilidades de éxito.
Dependiendo de lo sofisticada que sea la GenAI que están utilizando, puede ser posible discernir:

• Un ritmo antinatural en el discurso del orador
• Un tono emocional antinaturalmente plano en la voz del orador
• Respiración antinatural o incluso frases sin respiración
• Un sonido inusualmente robótico (cuando se utilizan herramientas menos avanzadas)
• Ruido de fondo extrañamente ausente o demasiado uniforme

Hora de contraatacar
Los ciberdelincuentes invierten en estafas con deepfakes por sus altas ganancias potenciales, como lo demuestra el caso de 2020 en el que se transfirieron 35 millones de dólares tras una llamada falsa del supuesto director. Dado el avance de esta tecnología, es clave reforzar la capacitación y concienciación, incorporando simulaciones de audio deepfake y enseñando a detectar señales de ingeniería social para reducir el riesgo.
Deben realizarse ejercicios de red team para comprobar si los empleados asimilan bien el proceso correcto:

• Verificación fuera de banda de cualquier solicitud telefónica, es decir, utilizar cuentas de mensajería corporativas para comprobar con el remitente de forma independiente
• Dos personas que firmen las transferencias financieras importantes o los cambios en los datos bancarios de los proveedores
• Contraseñas o preguntas acordadas previamente que los ejecutivos deban responder para demostrar que son quienes dicen ser por teléfono

Conclusión
Las deepfakes son fáciles y baratas de producir, y dado el alto beneficio potencial, las estafas de clonación de voz seguirán creciendo. Para mitigarlas, las organizaciones deben adoptar un enfoque integral basado en personas, procesos y tecnología, revisándolo periódicamente ante la evolución constante de la IA y el ciberfraude.

Fuente: https://www.welivesecurity.com/es/seguridad-corporativa/como-reconocer-l...