El pasado mes de enero se hizo viral en España un anuncio de la cerveza Cruzcampo en el que se “resucitó” a Lola Flores. Para devolver a la vida a la famosa cantante, los productores utilizaron la tecnología deepfake, un software de síntesis de imagen y voz humana basado en la inteligencia artificial.

Sus resultados, cada vez más sorprendentes y creíbles, se utilizan cada vez más en el mundo del cine y la publicidad, y provocan dos tipos de reacciones. Tras la sorpresa y admiración, es fácil inquietarse con una tecnología que tiene el potencial para convertirse en la próxima gran ciberamenaza.

Su uso es cada vez más simple y económico, y, por lo tanto, más asequible para los ciberdelincuentes. Según la consultora Gartner, en 2023 el 20% de los ataques de robo de identidad utilizarán deepfakes.

¿Qué tipos de deepfake existen?

Deepvoices

Aunque los vídeos suelen ser los más comentados en los medios por su espectacularidad, lo cierto es que la suplantación digital de la voz es la amenaza que más crecerá a corto plazo.

Es una amenaza más sencilla de crear (basta con unas pocas muestras de voz que se pueden conseguir con una breve llamada), y al contener menos parámetros su rastreo y detección es más complejo.

Deepfaces

La suplantación de un rostro en una fotografía y, especialmente, en vídeos que parecen reales, es aún más sorprendente y peligrosa.

El resultado se consigue con avanzadas técnicas de analogía antropomórfica, y el entrenamiento de algoritmos a partir de cientos de fotografías y vídeos.

Según la firma de inteligencia artificial DeepTrace, en septiembre del 2019 ya había 15.000 vídeos deepfake en Internet, el doble que 9 meses antes. Aunque el 96% de estos vídeos eran material pornográfico manipulado, cada vez se detectan más vídeos de carácter político o relacionado con el mundo empresarial.

¿Cuáles son los principales riesgos del deepfake?

Aunque esta tecnología ha afectado por ahora sobre todo a personas, especialmente famosas, sus efectos ya preocupan al 74% de los responsables de tecnología de las empresas, según una encuesta de Tessian.

Los principales riesgos son:

Suplantación de identidad para fraudes y estafas

Mediante la suplantación de la voz o del rostro (algo que ya es posible a tiempo real en videollamadas) los ciberdelincuentes consiguen hacerse pasar por altos ejecutivos de empresas y así consiguen transacciones no deseadas o datos sensibles.

En 2019, una empresa de Gran Bretaña se hizo tristemente famosa porque su máximo responsable fue víctima del “Fraude del CEO”. Mediante deepvoice simularon una llamada en la que se le solicitó una transferencia fraudulenta de 240.000 dólares.

La suplantación del rostro también pone de manifiesto la importancia de contar con sistemas biométricos avanzados, ya que el uso de dispositivos de detección desfasados puede ser burlado con más facilidad.

Daño a la reputación corporativa y personal

Más allá del robo de datos o de dinero, el daño reputacional es otro de los riesgos que entraña el deepfake y que, de momento, ha afectado principalmente a políticos.

Las declaraciones pronunciadas en audio o vídeo por un deepfake afectan a la credibilidad y a la veracidad, y como consecuencia a la reputación externa e interna.

¿Cómo puede detectarse un deepfake?

Aunque ya existe software capaz de detectar deepfakes mediante el análisis de diferentes parámetros, el hecho de que este tipo de ataques se realice cada vez más en tiempo real (con llamadas o videollamadas), complica mucho su detección.

Así, los expertos en ciberseguridad recomiendan aplicar un espíritu crítico y fijarse atentamente en aspectos como una actitud extraña del interlocutor (que puede incluir órdenes contradictorias) y detalles técnicos como el audio desincronizado (la voz no concuerda con los movimientos de la boca), la imagen distorsionada (por ejemplo, diferencias notables entre rostro y cuello o píxeles extraños en el interior de la boca), y la práctica inexistencia de parpadeo.

Como medida preventiva, en el ámbito empresarial también se recomienda grabar todas las conversaciones, de audio y vídeo para poder realizar un análisis posterior e, incluso, para tener pruebas en caso de juicio.

Resulta evidente que la sofisticación y perfección de los deepfakes suponen un nuevo reto para la ciberseguridad que implica revisar los protocolos para evitar riesgos.

Para profundizar sobre los deepfakes, recomendamos visitar esta página de INCIBE, el Instituto Nacional de Ciberseguridad.