Un hacker ha revelado cómo los ciberdelincuentes utilizan la inteligencia artificial para clonar las voces de las personas y robar miles de libras.
La Dra. Katie Paxton-Fear es profesora de seguridad cibernética en la Universidad Metropolitana de Manchester y una “hacker ética” que “hackea empresas antes que los malos”.
Se ha asociado con Vodafone Business en una nueva campaña para crear conciencia sobre la creciente amenaza de las estafas de phishing mediante IA en el sector empresarial del Reino Unido.
Una nueva investigación de la compañía sugiere que los jóvenes de oficina corren mayor riesgo de sufrir ataques de phishing de IA en el lugar de trabajo que cualquier otro grupo de edad.
La encuesta destaca una “brecha de edad” en la concientización: los trabajadores más jóvenes de entre 18 y 24 años parecen más propensos a caer en nuevos tipos de estafas de phishing con IA que sus pares de mayor edad.
Dado que casi la mitad (46%) no actualiza sus contraseñas de trabajo en más de un año, al personal de la Generación Z le resulta mucho más fácil piratear que a un tercio (33%) de los trabajadores en promedio.
Los investigadores preguntaron a 3.000 trabajadores de oficina y líderes empresariales del Reino Unido en pequeñas, medianas y grandes empresas sobre cuestiones de seguridad cibernética, incluida la concienciación sobre los ataques de phishing de IA.
La encuesta reveló que la mayoría de las empresas del Reino Unido (94%) no se sienten adecuadamente preparadas para gestionar la creciente amenaza de sofisticados ataques de phishing impulsados por IA.
La Dra. Katie Paxton-Fear es profesora de seguridad cibernética en la Universidad Metropolitana de Manchester y una “hacker ética” que “hackea empresas antes que los malos”.
Para crear conciencia, Katie reveló con qué facilidad los ciberdelincuentes pueden usar la IA para clonar voces humanas y hacerse pasar por ellas por teléfono, sin que las víctimas a menudo se den cuenta.
Para crear conciencia, Katie reveló con qué facilidad los ciberdelincuentes pueden usar la IA para clonar voces humanas y hacerse pasar por ellas por teléfono, sin que las víctimas a menudo se den cuenta.
Los piratas informáticos sólo necesitan “tres segundos de audio”, similar a un mensaje de voz, para clonar la voz de alguien A menudo siguen cinco sencillos pasos para ejecutar sus estafas de ‘vishing’ (estafas de phishing con clones de voz).
Para demostrarlo, el empresario Chris Donnelly desafió a Katie a piratear su negocio para ver con qué facilidad los delincuentes podían usar la IA para defraudarlo.
Chris ha sido emprendedor durante 15 años y es el fundador de Lottie, una plataforma de tecnología sanitaria para residencias de ancianos.
Lea a continuación cómo KT explica los pasos dados por los ciberdelincuentes para piratear una empresa mediante la clonación de voz mediante IA.
1. Reconocimiento
Katie dice: “Cualquier truco comienza con el reconocimiento”. Un hacker encontrará una víctima y acudirá a sus redes sociales.
En este caso, Chris es una figura pública con miles de seguidores en varias plataformas de redes sociales. Sus perfiles revelan detalles sobre sus empleados y lo que hacen por él.
Ahora un hacker tiene en la mira tanto a un jefe desprevenido como a un empleado igualmente desprevenido.
2. Clonación de voz
Ahora el hacker navegará por las páginas de redes sociales del jefe en busca de contenido de audio o vídeo.
Katie dijo: ‘Todo lo que tenemos que hacer es visitar las páginas de redes sociales de Chris, descargar algunos videos y copiar su estilo de hablar. Sólo necesitamos tres segundos de audio.’
El software de clonación de voz con IA puede usar la grabación para recrear la voz de Chris; ahora todo lo que el hacker tiene que hacer es escribir lo que quiere que diga su víctima.
En este caso, Katie escribió: “¿Pagaste la factura que te envié?” – y el mensaje se repite en la voz de Chris.
3. Comunicar
Los piratas informáticos envían a los empleados un mensaje de texto haciéndose pasar por su jefe, aunque sea de un número desconocido, diciéndoles que esperen una llamada.
En este caso, el empleado de Chris recibe el mensaje de texto y espera la llamada de su jefe.
4. Llamar
Ahora la llamada. Los piratas informáticos utilizan un software para llamar a los empleados desde sus computadoras y luego simplemente escriben el mensaje que quieren decirle al Chris clonado.
En el video, se puede escuchar a la empleada preguntándole a su jefe, Chris: ‘¿Pagaste la factura que te envié? Es importante solucionarlo inmediatamente”.
Una nueva investigación de Vodafone Business sugiere que los jóvenes en la oficina corren más riesgo de sufrir ataques de phishing de IA en el lugar de trabajo que otros grupos de edad.
¿Qué debe hacer el empleado? Su jefe le daba órdenes directas.
5. Esperando
Se dan instrucciones específicas al empleado sobre cómo realizar el pago. Ahora queda por ver si lo harán o no.
Katie dijo: ‘El paso final es si la víctima da un paso al frente o no. La mayoría de los piratas informáticos sabrán si tuvieron éxito al final de la llamada telefónica.
Chris Donnelly, empresario y director ejecutivo de Lottie, dijo: ‘La ciberseguridad siempre ha sido una prioridad para mi negocio, es algo en lo que pensamos todo el tiempo y nos aseguramos de mantener nuestros protocolos de seguridad lo más actualizados posible.
‘Puedes imaginar mi sorpresa ante la facilidad con la que los piratas informáticos éticos pudieron vulnerar nuestras defensas utilizando sofisticadas técnicas de phishing de IA, como la clonación de voz.
‘Como alguien que dirige una plataforma de tecnología sanitaria en la que manejamos grandes cantidades de datos privados y personales, esta experiencia destaca la importancia de estar un paso por delante en la seguridad cibernética, especialmente con el desarrollo de las amenazas de la IA.
Katie advierte: ‘Con la IA, los atacantes pueden crear mensajes que parezcan muy personalizados, lo que hace que al personal le resulte más difícil que nunca distinguir un correo electrónico falso de uno legítimo.
‘Esta es una llamada de atención para que todas las empresas fortalezcan sus sistemas de seguridad y proporcionen capacitación continua al personal para protegerse incluso contra las formas más avanzadas de fraude. Hoy en día, estar alerta y ser adaptable es esencial para proteger a nuestras organizaciones y clientes”.
Katie añadió: “Con la IA, los atacantes pueden crear mensajes que parezcan muy personalizados, lo que hace que sea más difícil que nunca para el personal distinguir un correo electrónico falso de uno legítimo”.
‘Las empresas, independientemente de su tamaño, necesitan comprender los riesgos reales y tomar medidas proactivas para protegerse contra estas amenazas.
“Fortalecer las prácticas de ciberseguridad, implementar sistemas de detección avanzados y educar a los empleados sobre cómo detectar estafas impulsadas por IA son pasos necesarios para proteger datos valiosos y mantener la confianza”.
