El phishing deepfake creció un 3000 % en 2023, y apenas está comenzando

El phishing es quizás la amenaza de ciberseguridad más persistente y no hace más que empeorar. Mientras las personas sean personas, cometerán errores, por lo que atacar las debilidades humanas es una estrategia segura para cualquier ciberdelincuente. Si bien eso no ha cambiado a lo largo de los años, la nueva tecnología ha llevado a una versión mucho más siniestra de estas amenazas: el phishing profundo.

¿Qué es el phishing profundo?

Los deepfakes utilizan algoritmos de aprendizaje profundo para generar contenido falso que se parece notablemente al real. Los vídeos falsificados de una figura pública haciendo o diciendo algo que nunca dijo o hizo son ejemplos comunes. El phishing deepfake utiliza este contenido generado por IA para crear intentos de phishing más creíbles.

En un caso, el director ejecutivo de una empresa energética envió 220.000€ a un proveedor luego de recibir una llamada del líder de la empresa matriz solicitando el intercambio. Sin embargo, el verdadero jefe nunca ordenó esta transferencia y el “proveedor” era la cuenta de un ciberdelincuente. Resulta que la llamada era una falsificación de la voz del verdadero líder.

Estos ataques son peligrosos porque los deepfakes son difíciles de distinguir de la realidad. También pueden carecer de signos reveladores de phishing (como errores ortográficos o enlaces sospechosos) porque se presentan en forma de contenido de audio o vídeo. A medida que la IA mejore, también serán más convincentes.

El auge del phishing profundo

El phishing deepfake no sólo es peligroso: está creciendo a un ritmo alarmante. Según un informe, Los intentos de fraude deepfake aumentaron un 3.000% en 2023. La misma investigación también encontró que los ciberdelincuentes están utilizando videos e imágenes deepfake para evadir la seguridad biométrica, lo que puede provocar ataques que comprometan la cuenta.

Este aumento en el phishing profundo probablemente se deba a que los modelos de aprendizaje profundo se vuelven más accesibles. Estos algoritmos avanzados de IA solían requerir experiencia en ciencia de datos de alto nivel o un gran presupuesto. Ahora, hay disponibles muchos modelos avanzados de IA gratuitos o de bajo costo que requieren poco o ningún conocimiento de codificación para su uso.

Es probable que esta misma tendencia aumente los intentos de phishing profundo en el futuro. La IA generativa es más accesible que nunca. Si bien esto tiene muchas implicaciones positivas, también significa que cada vez es más fácil para los ciberdelincuentes crear contenido falso convincente generado por IA.

El phishing por correo electrónico cuesta a las empresas estadounidenses un promedio de 4,91 millones de dólares , incluso sin amenazas de deepfake prevalentes. Es sólo cuestión de tiempo antes de que más delincuentes apliquen deepfakes a este vector de ataque lucrativo y relativamente fácil.

Cómo protegerse contra el phishing profundo

Si bien el phishing profundo es una amenaza, las organizaciones pueden protegerse contra él. Los siguientes pasos ayudarán a las empresas y a sus empleados a mantenerse a salvo de estas crecientes amenazas.

Acceso seguro a la cuenta

En primer lugar, las empresas necesitan asegurar el acceso a todas las cuentas internas. El phishing deepfake es más eficaz cuando proviene de una cuenta real, confiable pero comprometida. En consecuencia, hacer que sea más difícil entrar en ellos socavará estos ataques.

La autenticación multifactor (MFA) es esencial, y el tipo de MFA que utilizan las personas también es importante. Los expertos en seguridad han advertido sobre los deepfakes puede engañar al reconocimiento facial y de voz herramientas, por lo que la biometría no es la opción más segura. Los códigos de un solo uso y las claves de hardware basados en aplicaciones son opciones de MFA más seguras ante las amenazas de deepfake.

Capacitar a los empleados

Al igual que ocurre con el phishing habitual, la formación de los empleados también es fundamental. Si bien los deepfakes pueden ser difíciles de detectar, existen algunos indicios comunes. Los errores visuales como vibraciones o borrosidades son comunes en los deepfakes, al igual que señales de audio extrañas como voces distorsionadas. Enseñarles a los empleados estas señales y advertirles sobre el phishing profundo hará que sea menos probable que caigan en él.

Incluso con esta capacitación, las personas no podrán detectar deepfakes con un 100% de precisión. En consecuencia, también es importante enfatizar que todos deben pecar de cautelosos. Como regla general, si algo parece sospechoso o incluso un poco extraño, verifíquelo antes de confiar en él.

Lucha contra la IA con IA

A medida que el phishing deepfake se vuelva más popular, combatir fuego con fuego (o IA con IA, más exactamente) será más importante. La misma tecnología que hace posibles los deepfakes puede ayudar a detectarlos, y ya hay varios modelos de detección disponibles. Alternativamente, las empresas con amplia experiencia en IA podrían crear la suya propia.

Los modelos de detección pueden superar a los humanos en la detección de deepfakes, pero ningún detector es 100% preciso todavía. Los ciberdelincuentes desarrollarán nuevas formas de sortearlos a medida que los métodos mejoren también. En consecuencia, si bien las protecciones de la IA son útiles, las organizaciones no deberían confiar en ellas.

Imponer medidas de seguridad

Dado que ningún modelo humano o de inteligencia artificial puede detectar deepfakes todo el tiempo, las empresas necesitan una segunda y tercera línea de defensa. Lo más importante es que el flujo de trabajo o las paradas técnicas deberían evitar que un error ponga en peligro la seguridad de la organización. Un gran ejemplo es exigir múltiples pasos de autorización para grandes transferencias financieras.

Conceder a alguien acceso a datos confidenciales o enviar una cantidad de dinero suficientemente grande debería requerir varias personas o medidas de autenticación. Estas paradas pueden obstaculizar la eficiencia, pero dan tiempo a los empleados para pensar en sus acciones. Involucrar a más personas y sistemas también mejorará las posibilidades de que la empresa detecte un ataque deepfake.

Monitorear las amenazas en evolución

Por último, las marcas y los expertos en seguridad deberían estar al tanto de las tendencias de los deepfakes y los delitos cibernéticos. El ciberdelito evoluciona constantemente y la IA avanza más rápido que muchas otras tecnologías, por lo que es fácil que algunas defensas o mejores prácticas de seguridad queden obsoletas.

Nuevas herramientas de IA generativa emergen varias veces al mes , y algunas de estas actualizaciones pueden hacer que las amenazas sean más peligrosas. Alternativamente, algunas actualizaciones pueden proporcionar un medio más eficaz para detener el phishing profundo. Es igualmente importante reconocer ambos cambios. Las revisiones frecuentes de las tendencias actuales y las auditorías de los procesos de seguridad internos ayudarán a las empresas a mantenerse al tanto de estos cambios.

Las prácticas de ciberseguridad deben evolucionar en medio de nuevas amenazas

Puede que el phishing no sea nada nuevo, pero las nuevas tecnologías como los deepfakes añaden una dimensión peligrosa. Por muy apasionante que sea la IA, también es importante reconocer cómo los ciberdelincuentes pueden aprovechar las mismas herramientas que utilizan las corporaciones. No lograr que las prácticas de ciberseguridad evolucionen junto con las nuevas tecnologías podría dejar a las organizaciones vulnerables antes de que se den cuenta.

La sensibilización y la formación siguen siendo pasos esenciales para prevenir los ataques de phishing. Cuando los empleados sepan que deben estar atentos a los deepfakes, será menos probable que se enamoren de ellos. Hacer hincapié en este elemento humano y al mismo tiempo ajustar con frecuencia las defensas técnicas mantendrá a las empresas seguras a pesar de estas amenazas crecientes.