Suena de película, pero no lo es. Delincuentes compraron un software de Inteligencia Artificial para crear una voz muy similar a la del CEO de una empresa, que ordenó a uno de sus empleados enviar u$s243.000 a una cuenta. Funcionó.
Si bien no trascendió el nombre de la compañía, se sabe que tiene sede en Reino Unido, aunque es controlada por otra de origen alemán. Ese fue el acento que el software de IA, disponible comercialmente, imitó.
La compañía cuenta con un seguro, de forma que los fondos fueron reembolsados. El caso marca, sin embargo, un peligroso antecedente.
La técnica es conocida como Vishing (abreviatura de voice phishing), que en español se traduce como phishing de voz, la táctica de engañar a los objetivos por teléfono.
El caso surge en medio del temor por el avance de los deepfake, una técnica que emplea IA para editar imágenes, haciendo que los protagonistas digan lo que sus creadores quieran.
Los deepfake más controvertidos tienen que ver con poner rostros de actrices en escenas de películas pornográficas.
Hace pocos días se conoció que hay una app que permite a cualquiera convertirse en una estrella de cine en pocos segundos.
Cómo ocurrió
Los delincuentes crearon una voz tan similar al jefe de la empresa matriz alemana, que los empleados de la compañía del Reino Unido no notaron la diferencia.
Ordenaron al director ejecutivo del Reino Unido que transfiriera de inmediato u$s243,000 a un proveedor húngaro, y agregó que los fondos se reembolsarían de inmediato.
El ejecutivo del Reino Unido transfirió el dinero según las instrucciones, y los delincuentes lo trasladaron rápidamente de la cuenta húngara a México y otros lugares.
Más tarde, utilizando la misma táctica, los delincuentes intentaron que el ejecutivo británico transfiriera más dinero. Pero al darse cuenta de que la primera ronda de fondos no había sido reembolsada como se había prometido, no cayó por segunda vez.
«A medida que la IA mejore, estafas van a proliferar exponencialmente», comentó el evangelista de seguridad de Avast, Luis Corrons.
“Las empresas necesitan establecer nuevos protocolos de seguridad para protegerse contra este tipo de ataques. Una opción es implementar la autenticación de dos factores (2FA), lo que requeriría que cualquier transferencia de dinero solicitada por teléfono se confirme utilizando un segundo canal de una manera previamente definida «, sentenció.
