El 4 de febrero de 2024, South China Morning Post reportó el robo de más de 25 millones de dólares a una firma internacional por medio de phishing y tecnología deepfake. El modus operandi fue relativamente simple. Los responsables hicieron una videollamada a un trabajador del departamento de finanzas en dicha compañía.
Con ayuda de la mencionada tecnología deepfake, los criminales se hicieron pasar por el director financiero (CFO) y otros miembros de la organización. Como reveló la policía, solicitaron una transferencia de 200 millones de dólares de Hong Kong en la reunión.
Baron Chan Shun-ching, superintendente de la policía de Hong Kong, reiteró la peculiaridad del caso. Es la primera vez registrada en la que casi todos los integrantes de una conferencia de video eran falsos. Cabe señalar que la videollamada fue precedida por un correo fraudulento, que informó al empleado sobre una transacción secreta.
Por supuesto, esta no es la primera vez que la tecnología deepfake ha protagonizado las noticia al ser utilizada para realizar estafas. Probablemente no será la última.
Los peligros de la tecnología deepfake
El uso de deepfakes para fines criminales no es algo nuevo. De hecho, varios casos preceden a la pandemia. Tanto la Europol como la UCL advirtieron que dicha tecnología sería empleada para llevar a cabo fraude, pornografía, manipulación de evidencia y desinformación. Sin embargo, tal como señala Bloomberg y Thomson Reuters, el uso de deepfakes para fines ilícitos tuvo su auge con el boom de la IA generativa en 2023.
Como señala la Iniciativa Global contra la Delincuencia Organizada Transnacional (GI-TOC), el uso de deepfakes con fines ilícitos en la región Asia-Pacífico vio un aumento del 1530% entre 2022 y 2023. ¡Y sigue sin ser la región más afectada! Esa es América del Norte. No menos preocupante, la ONG teme que el desarrollo de la tecnología deepfake pueda comprometer los factores de seguridad biométricos.
Si bien no hemos llegado a esos extremos, los crímenes con deepfakes no han hecho más que volverse más recurrentes. En 2021, Forbes documentó el caso de un robo de más de 35 millones de dólares tras clonar la voz del director de un reconocido banco. En 2023, Reuters reportó múltiples casos en China en los que los criminales personificaban a amigos de las víctimas. Por supuesto, ¿cómo olvidar la reciente controversia por la falsa pornografía de Taylor Switf generada con la tecnología deepfake?
Con el fin de mitigar los riesgos de la IA y la tecnología deepfake, gobiernos y compañías de todo el mundo están diseñando regulaciones. Algunos países buscan crear una reglamentación estandarizada, tal como la Ley de la IA de la Unión Europea.
¿Qué hacer frente a esta clase de estafas?
Los usuarios pueden verificar la autenticidad de los individuos en las videollamadas usando métodos simples. Tal como aconseja la policía de Hong Kong, pueden solicitar que muevan sus cabezas o respondan preguntas que solo ellos puedan contestar. Esto es especialmente importante en circunstancias que involucren transferencias de dinero.
Otra solución puede ser equipar a cada empleado con un par de claves encriptadas. En reuniones presenciales, sería necesario firmar las claves públicas. En remoto, esas claves firmadas podrían emplearse para autenticar a los miembros de la reunión. Estas medidas pueden volverse más o menos estrictas dependiendo de la situación.
Si bien es desafortunado haber llegado a esta situación, está la esperanza de que las futuras regulaciones mitiguen e incluso impidan que casos como este vuelvan a ocurrir. Por ahora, lo único que las empresas y sus empleados pueden hacer es tomar precaución ante este nuevo peligro para así evitar ser el titular de una mala noticia.