Los casos de fraude del CEO están entre los golpes más espectaculares del mundo de la delincuencia digital. Al contrario que los ciberataques contra personas corrientes, que suelen basarse en lanzamiento indiscriminado de anzuelos idénticos, en este tipo de timo las bandas preparan complejos engaños que pueden incluir la suplantación de la voz o la imagen de ejecutivos de grandes empresas. El objetivo es engañar a sus empleados para que realicen transferencias o abran las puertas de sus sistemas a los ciberdelincuentes.
Estos engaños han ido perfeccionándose y aumentando su complejidad con el tiempo hasta desencadenar operaciones propias de película. A comienzos de año la Policía de Hong Kong documentó un caso en una multinacional financiera a la que llegaron a robar 25 millones de dólares. Los atacantes invitaron a una reunión por videollamada a uno de sus altos ejecutivos. En ella estaba el director financiero de la compañía y varias personas más para tratar una serie de operaciones.
Tras mostrar conocimientos sobre la gestión de la empresa y sus movimientos en los últimos días, el director financiero, que en ese momento se encontraba en Londres, encargó hacer una serie de transferencias a ese alto ejecutivo. Nadie, ni el director financiero ni el resto de participantes, eran reales. Todos habían sido suplantados con inteligencia artificial a través de los conocidos deepfakes.
Tradicionalmente, los golpes de fraude del CEO han sido menos numerosos pero más calculados que las estafas tradicionales. Mayor preparación, mayor riesgo, mayor recompensa. El problema es que las fuerzas de seguridad están empezando a ver tácticas propias del fraude del CEO, como los deepfakes y las suplantaciones con inteligencia artificial, en timos lanzados contra ciudadanos corrientes.
“Últimamente, los especialistas policiales en estafas también han detectado que determinados grupos han empezado a utilizar lo que se conoce como deepfake de audio en las llamadas de teléfono: simulan las voces de personas conocidas, como por ejemplo de familiares, por, bajo cualquier pretexto, obtener datos personas, o transferencias de dinero”, han alertado los Mossos d'Esquadra.
Es una estafa “especialmente peligrosa y que puede tener un aumento próximamente”, ha avisado José Ángel Merino, director del área de delitos económicos de los Mossos. Ya no es un golpe destinado solo altos ejecutivos. “Estamos teniendo casos como por ejemplo un trabajador de una gasolinera que recibe un audio en el que identifica como interlocutor a un compañero de trabajo, que le pide que haga una transferencia de dinero”, detalla Merino.
El Instituto Nacional de Ciberseguridad (Incibe) también ha notificado un caso idéntico. “Una usuaria contactó con la ‘Línea de Ayuda en Ciberseguridad’ 017, buscando ayuda a raíz de recibir una llamada sospechosa en su teléfono móvil. Nos contó que había recibido una llamada de un número desconocido que decidió descolgar. Al otro lado de la línea reconoció la voz de su marido diciendo: ¡Hola! No te puedo llamar, envíame un mensaje a este número ______”.
La ciudadana sospechó ya que el mensaje parecía una locución grabada, por lo que cuando se cortó la comunicación llamó a su marido y confirmó que no era él el autor del mensaje. “Llegaron a la conclusión de que la locución podía haber sido creada con inteligencia artificial”, recoge el Incibe.
Redes sociales o llamadas
Las nuevas herramientas de inteligencia artificial generativa han puesto al alcance de todo el mundo las técnicas de deepfake, incluidos los ciberdelincuentes. Si estos logran tener acceso a una pequeña muestra de audio, pueden copiar la voz de cualquiera. Esos contenidos pueden venir de publicaciones en las redes sociales o también de llamadas de teléfono donde el interlocutor se hace pasar por otra persona para conseguir grabar la voz de su objetivo, avisan los organismos de ciberseguridad.
En el caso recogido por el Incibe, la usuaria recalcó que su marido no subía contenido a las redes sociales, pero había estado recibiendo “llamadas extrañas, donde al contestar nadie hablaba al otro lado de la línea y posteriormente colgaban, se oía un pitido u otras donde le pedían datos personales”.
“Es posible que los ciberdelincuentes hubiesen podido suplantar la voz de su marido en el mensaje que escuchó, valiéndose de grabaciones de su voz captada en alguna de las llamadas que había recibido e identificado como sospechosas”, destaca el organismo.
El miedo de los especialistas es que los ciberdelincuentes que se dedican ahora a suplantaciones más sencillas, como el timo de falso agente de agentes bancario (la Guardia Civil anunció este martes la detención de un centenar personas por toda España relacionadas con la comisión de esta ciberestafa, acusadas de sustraer más de un millón de euros); o el del hijo en apuros, puedan pasarse a este tipo operaciones más complejas, destaca Josep Albors, de la firma de ciberseguridad ESET.
“De momento no es una estafa masiva, pero las fuerzas de seguridad hacen bien en alertar si están viendo un incremento. Nosotros también lo hemos percibido. Ahora mismo el gancho del hijo o el familiar en apuros sigue bastante fuerte, y se está empezando a complementar con deepfakes”, apunta Albors: “Esto puede ir a más en el futuro y conviene que la gente esté atenta, especialmente si hay mucho contenido disponible para clonar la voz subido a redes sociales o disponible de forma pública en Internet”.
Palabra de seguridad
La buena noticia es que las recomendaciones básicas para evitar este ciberataque no difieren demasiado de las suplantaciones más sencillas, como evitar la sensación de urgencia. “Hay que verificar siempre la información que nos llega, venga de quien venga, tanto por mensajes escritos como por audio. Por otro lado, se puede intentar pillar al delincuente con alguna pregunta secreta o una palabra que solo sepan los dos interlocutores”, apunta el especialista de ESET.
Este sencillo método también forma parte de los consejos del Incibe. “Acordar una palabra 'clave' entre sus familiares y amigos para poder corroborar su identidad en comunicaciones sospechosas” puede ayudar a detectar de manera rápida una suplantación de identidad por cualquier canal, recalca el organismo.
El Instituto también aconseja avisar a familiares y conocidos en caso de recibir este tipo de llamadas sospechosas así como no dar nunca datos personales o financieros en comunicaciones establecidas por terceros en canales no oficiales. Tampoco descargar aplicaciones o archivos.
En caso de haber proporcionado datos bancarios u otra información relevante en canales que podrían estar operados por ciberestafadores, la recomendación es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Incibe dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.