Vishing, una amenaza repotenciada por Inteligencia Artificial
Una estafa peligrosa para organizaciones y personas por igual vuelve a aparecer en el radar tras el surgimiento de herramientas de IA para clonar la voz de cualquier persona. ¿Cómo cuidar nuestros datos y dinero de los criminales?
Por Hugo Morales, Senior Tech Reporter.
Tu empresa recibe un llamado, y una voz conocida le pide a un empleado que envíe con urgencia datos, credenciales de acceso o incluso dinero para resolver una situación potencialmente riesgosa. No se trata del clásico “cuento del tío”, sino una versión muchísimo más tecnológica, peligrosa y con un aliado inesperado: inteligencia artificial.
Se trata del Vishing – contracción de los anglicismos “Voice” y “Phishing” – que se usa para denominar una estafa en que una voz que dice ser un representante de una institución, o un familiar, y que utiliza técnicas de ingeniería social para persuadir a otros de enviar datos valiosos, información sensible o dinero.
La técnica no es nueva, pero diversas empresas de ciberseguridad han alertado de una nueva ola de vishing basada en la utilización de servicios de inteligencia artificial generativa que permite clonar voces. Los ciberdelincuentes las usan para hacer más creíble una estafa que sólo en Estados Unidos representó más de USD $1.200 millones en pérdidas para organizaciones y empresas durante 2022.
Francisco Kemeny, consultor en IA generativa, asegura que a pesar de lo sencillo que pareciera clonar una voz hoy en día, no es tan así. “Para clonar una voz se requiere de gran cantidad de fragmentos y frases distintas para entrenar un modelo de IA que sintetice tu voz de forma fidedigna. Esa es una gran brecha, pues con un audio de WhatsApp de 1 minuto, 10 minutos o 15 minutos, no me alcanza”, explica.
Leonardo Águila, Asesor Senior de TI y CX, reconoce que el vishing apela a un elemento muy humano. “Con IA haciendo ingeniería social, entra en juego la confianza de las personas al escuchar a otro ser humano que te habla y te pide algo importante”.
Águila asegura que al trascender la tecnología y apelar a la confianza, “tomar datos confidenciales o afectar las finanzas de una compañía puede ser sólo el comienzo del problema, porque no sólo la IA puede reproducir la voz de una persona conocida, sino la de tu líder o de tu jefe y eso es grave, abriendo una línea paralela para ataques tanto o más catastróficos que los que hoy tenemos sólo en base a ransomware”, explicó.
¿Cómo proteger tu empresa del vishing? Atención a “lo humano”
La empresa de ciberseguridad Sophos es una de las primeras que ha levantado la alerta, y entregó detalles a considerar ante la duda de si estamos ante un intento de vishing. La clave, según Juan Alejandro Aguirre, Senior Manager Sales Engineering LATAM de Sophos, está en reconocer el factor humano en una conversación.
El ejecutivo asegura que un sintetizador de voz basado en IA aún carece de rasgos emocionales, lo que puede darnos pistas de si estamos ante una persona real o un bot. Inflexiones, coherencia y distintos rangos de tono son parte de esta primera detección. Eso, sumado a un vocabulario limitado, palabras inusuales y llamadas inesperadas son parte de esas pistas.
El número del que llaman también puede ser un indicador. Muchas veces los centros de llamada de estos ciberdelincuentes están en otros países, o usan números desconocidos u ocultos para intentar despistar. Si la duda persiste, llamar directamente a la persona supuestamente suplantada es una forma rápida de saber si el pedido es real o no.
Aguirre reconoce que hay pocas soluciones de ciberseguridad que permitan prevenir el vishing en base a IA, pero no demoniza la tecnología. Por el contrario, valora el aporte que incluso en su operación las soluciones de inteligencia artificial tienen.
“Hay muchos desafíos hoy en día, pero también oportunidades. Actualmente se utiliza IA en la detección de malware, en la detección de phishing y de comportamientos sospechosos de usuarios, así como también será utilizada en la detección de amenazas generadas por inteligencias artificiales. Ya existen softwares que contienen redes neuronales de aprendizaje profundo para la detección de amenazas, entre ellos nuestro Intercept X”, comentó.
Coincide con esta visión Águila, quien pone en valor el rol utilitario de la IA. “La herramienta no es buena ni mala, sino que nosotros definimos su uso. En este caso, pronto la propia IA nos podrá ayudar a reconocer que la voz que dice ser alguien no es natural sino sintética”. Este consultor apela a la educación digital y la capacitación en empresas como recursos para identificar amenazas, pero también al sentido común.
Kemeny, quien fundó en Ciudad de México su propio estudio de IA, recomienda además pactar “patrones de comunicación y claves para indicar si está todo bien o todo mal en estos casos”, y permitan validar la veracidad de potenciales peticiones vía llamada.
