Seguridad

IA y Deepfakes: un dúo peligroso en las manos equivocadas

El emergente crecimiento de la Inteligencia Artificial ha permitido transformar sectores clave como la medicina, la economía, el sector energético o el transporte. En el panorama actual, la Inteligencia Artificial tiene un potencial inmenso para construir una sociedad mejor. Sin embargo, la IA es una herramienta de doble filo tan poderosa que puede ser explotada para desarrollar soluciones que encierren fines negativos o maliciosos.

En el plano de la ciberseguridad, la Inteligencia Artificial ha permitido la evolución y mejora de técnicas de ingeniería social, facilitando la ejecución de campañas de ciberataques más eficaces y difíciles de detectar. 

En este contexto, se ha visto desarrollados nuevos fraudes impulsados por la IA, especialmente en lo que conlleva a la creación de deepfakes.

¿Qué es el deepfake?

El término deepfake resulta de la combinación del término Deep Learning y fake. Así, este término hacer referencia a la técnica por la cual, empleando algoritmos de Inteligencia Artificial complejos como es el Deep Learning, se manipulan contenidos de carácter audiovisual datándolo de un efecto altamente realista. Esta característica implica que, bajo la percepción convencional de un humano, es muy complicado determinar si el contenido audiovisual que se está consumiendo es verdad o falaz. 

En este contexto, la tecnología deepfake para la suplantación de identidad ha conseguido expandirse a todas las plataformas digitales y al ámbito de la comunicación personal, la industria cinematográfica, así como al sector corporativo y gubernamental. Si bien abre oportunidades para la creatividad y la innovación en la producción de contenido digital, también presenta riesgos considerables para la privacidad y la seguridad.

Aunque deepface y deepvoice no son términos ampliamente reconocidos dentro del deepfake, podemos explicarlos de forma separada para entender las aplicaciones dentro del mundo de la ciberseguridad:

  • Deepfaces: Consisten en crear imágenes con un alto nivel de realismo desde cero, pero siendo completamente ficticias. 
  • Deepvoices: Esta tecnología permite generar voces humanas sintéticas que suenan muy naturales a partir de texto escrito. Además de generar una voz de cero, es posible falsificar la voz de una persona real entrenando a la IA con muestras de la voz real. Con unos minutos de audio de la voz de una persona, cualquier usuario podría clonar su voz y comprometer su seguridad y privacidad.


Casos reales de deepfake y ataques de IA

Algunos casos conocidos de deepfake o alteración y creación falsa de imágenes, audios y videos son los siguientes:

  • Deepfake de Vladimir Putin y Donald Trump: En 2019, un video deepfake que representaba a Vladimir Putin y Donald Trump fue compartido en redes, donde ambos líderes políticos parecían discutir temas serios como el control de armas y la política internacional. Este tipo de contenido subraya cómo los deepfakes podrían ser utilizados para desinformar y manipular opiniones públicas.
  • Deepfake de actores en películas pornográficas: Uno de los usos más controvertidos de los deepfakes ha sido la creación de videos pornográficos falsos que muestran a celebridades y personas públicas en escenas comprometedoras, como fue el caso de Emma Watson, Rosalía o Taylor Swift. Este tipo de contenido ha provocado preocupaciones legales y éticas sobre la privacidad y el consentimiento. 
  • Deepfake de Barack Obama: En 2018, un video deepfake del expresidente de Estados Unidos, Barack Obama, fue creado por la empresa Jordan Peele’s Monkeypaw Productions. En el video, Obama parece estar haciendo declaraciones inusuales y advirtiendo sobre los peligros de los deepfakes, lo que se hizo para concienciar sobre esta tecnología y sus posibles usos maliciosos. El vídeo está disponible en youtube en el siguiente enlace.
  • Uno de los casos destacados de suplantación de voz es la del CEO de una empresa británica energética en marzo de 2019. En este incidente, los estafadores utilizaron inteligencia artificial para imitar la voz del CEO. Este alto directivo recibió una llamada telefónica de su supuesto jefe en la que se le indicaba que realizara una transferencia de 220.000€ a una cuenta bancaria externa. El CEO realizó la transferencia sin verificar la identidad de su jefe, dada la credibilidad de una llamada telefónica con una voz tan realista.

Un paso más en el deepfake…

Los avances en la sofisticación de los deepfakes convencionales son tan sustanciales que, en la actualidad, se han logrado realizar ejercicios de deepfakes en el contexto de una videollamada, lo que implica la capacidad de alterar en tiempo real la apariencia y voz de un individuo durante una llamada en vivo. 

Se plantea un problema mayor en esta situación, pues la dificultad en la detección de este tipo de estafas aumenta a gran escala. A pesar de la todavía escasa concienciación sobre este tipo de ejercicios de suplantación, es probable que dados los mediáticos casos sobre deepfake en estos últimos años, un usuario en internet pueda desconfiar de vídeos o imágenes que reflejen contenidos inusuales, o que un alto cargo directivo tome una actitud más dubitativa frente a una llamada de su jefe solicitando, de nuevo, cosas inusuales. Sin embargo, los deepfakes en tiempo real suponen un gran reto en la actualidad por la dificultad en su identificación. Y tú …¿dudarías de la identidad de la persona a la que estás viendo y escuchando al otro lado de la pantalla en tiempo real?

Sin embargo, esta técnica aún cuenta con pequeñas fallas relativas al movimiento de la cabeza y la perspectiva. Rotaciones de cabeza en el modelo de 90º o manos delante del rostro son algunas de las acciones habituales de una persona que los deepfakes aún no llegan a replicar de forma totalmente realista. Por lo tanto, mientras se desarrollan y mejoran las técnicas de detección de este tipo de ataques, puede llegar a resultar útil para detectar deepfake pedirle a la persona con la que se realiza la videollamada que mueva la cabeza o eleve el brazo (¡¡aunque no es la solución más recomendable!!).

Deepfake al alcance de todos

Uno de los aspectos más preocupantes del deepfake es su accesibilidad. Actualmente existen multitud de opciones software y aplicaciones gratuitas o con un coste muy reducido que permiten a los usuarios crear deepfakes con relativa facilidad.

Existen plataformas, como https://thispersonnotexist.org/, que generan retratos de personas que, pese a parecer imágenes de personas reales, son completamente falsas.

Otras herramientas conocidas para modificación de contenidos visuales son myEdit o PowerDirector. Estas herramientas, sumadas a clonadoras de voces como Vidnoz, son la combinación perfecta para ciberdelincuentes dispuestos a falsear y suplantar identidades en ámbitos digitales, pero también gubernamentales.

Tampoco podemos dejar de lado uno de los mejores servicios de Speech to Text, Eleven Labs, donde tambien podremos clonar voces de forma sencilla y rápida y a un coste realmente bajo.

Finalmente, DeepFaceLive es una versión de deepfake en tiempo real del popular software DeepFaceLab.
Mediante una simple búsqueda sobre recursos deepfake, se encuentran cientos de recursos en línea con los que crear nuevos montajes y engaños fácilmente.

One more thing…

Dos años atrás, una multinacional china sufrió un ataque basado en la tecnología deepfake en el que se defraudaron 26 millones de dólares. 

Dada la repercusión mediática que tuvo este ataque, y en la lucha para la concienciación de las amenazas digitales emergentes, en Zerolynx se tuvo la oportunidad de desarrollar una prueba de concepto sobre deepfake en videollamadas de Teams. Los linces Javier Martín, Álvaro Caseiro y Daniel Rico, haciendo uso de herramientas accesibles por cualquier usuario de internet, realizaron un ejercicio de suplantación en un entorno seguro y controlado como campaña de concienciación para altos cargos de una empresa ejecutiva.

La suplantación al CEO en directo y durante una videollamada es un evento que causa desconfianza en la plantilla ante eventos sospechosos o inusuales como la aprobación de nuevas facturas, delegación de puestos de mando o cambios en los datos de proveedores o clientes. Una junta en la que se espera la presencia del CEO o no, es una buena oportunidad de poner a prueba la concienciación en seguridad de los altos cargos al mismo tiempo que se forma a todos los presentes sobre los riesgos que cada vez serán más habituales.
Alba Vara, analista de ciberseguridad en Zerolynx.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.