Los usos criminales de los ¡®deepfakes¡¯ se disparan: estafas, pornograf¨ªa y suplantaci¨®n de identidad

La inteligencia artificial (IA) es una de las tecnolog¨ªas que promete revolucionar la forma en que todas las personas se relacionan con el mundo. Tambi¨¦n los delincuentes. Tanto las compa?¨ªas de ciberseguridad como las instituciones del sector tecnol¨®gico advierten de que los usos ilegales de las herramientas de deepfake (aquellas basadas en IA que permiten tomar im¨¢genes o grabaciones de una persona y transformarlas en v¨ªdeos o audios falsos) est¨¢n creciendo de forma alarmante. En concreto, los datos de la ONG Cyberpeace Institute revelan que la pornograf¨ªa que aplica esta tecnolog¨ªa ¡°se duplica cada seis meses en las plataformas de streaming m¨¢s populares¡±, mientras que los casos de fraude se multiplicaron por diez entre 2022 y 2023 en diversas industrias. Asimismo, se est¨¢n implementando estas t¨¦cnicas para cometer otros delitos como la suplantaci¨®n de identidad o el fraude documental.

¡°Lo que conocemos como deepfake comenz¨® como un proyecto de c¨®digo abierto para crear contenido sexual ilegal. Por lo tanto, no es de sorprender que un asombroso 96% de estos videos est¨¦n relacionados con pornograf¨ªa no consentida. Este mal uso incluye pornovenganza, extorsi¨®n, humillaci¨®n e incluso explotaci¨®n infantil en l¨ªnea. Los rostros de las v¨ªctimas se superponen al contenido expl¨ªcito sin su consentimiento, convirtiendo a los deepfakes en una herramienta devastadora para ataques personales y explotaci¨®n¡±, explica St¨¦phane Duguin, CEO de la Cyberpeace Institute, organizaci¨®n no gubernamental especializada en ciberamenazas y financiada por empresas como Microsoft y Mastercard, a EL PA?S.

En el caso de las estafas, un informe reciente de Unit 42, la divisi¨®n de investigaci¨®n de la firma de ciberseguridad Palo Alto Networks, revela que ya existen bandas organizadas dedicadas a elaboraci¨®n de campa?as de deepfakes. Estos grupos utilizan sin permiso la imagen de celebridades para difundir esquemas de inversi¨®n falsos o incluso se hacen pasar por ejecutivos para extraer dinero de sus v¨ªctimas.

Un ejemplo reciente es el de la plataforma fraudulenta Quantum AI, que utiliz¨® la imagen de personalidades como el magnate Elon Musk, la presidenta italiana, Georgia Meloni o el expresidente mexicano, Andr¨¦s Manuel L¨®pez Obrador para crear v¨ªdeos falsos que atrajeran a los usuarios. ¡°En la mayor¨ªa de los casos, los atacantes parecen haber comenzado con un video leg¨ªtimo y haber agregado su propio audio generado por IA. Finalmente, utilizaron tecnolog¨ªa de sincronizaci¨®n de labios para modificar el movimiento de los labios del hablante para que coincida con el audio generado por IA¡±, explican los autores del informe.

En esta estafa en particular, a las v¨ªctimas se les solicita que se registren con su nombre y n¨²mero de tel¨¦fono, y se les indica que esperen una llamada de un gerente de cuenta o un representante. Despu¨¦s, los ciberdelincuentes llaman por tel¨¦fono a la v¨ªctima, solicitando un pago de alrededor de 250 d¨®lares (unos 223 euros) para acceder a la plataforma. A continuaci¨®n, se le pide a la v¨ªctima que descargue una aplicaci¨®n especial para que pueda ¡°invertir¡± m¨¢s de sus fondos. Dentro de esa aplicaci¨®n aparece un panel que muestra peque?as ganancias.

¡°A partir de ah¨ª, los estafadores contin¨²an persuadiendo a la v¨ªctima para que deposite m¨¢s dinero e incluso pueden permitirle retirar una peque?a cantidad de dinero como una forma de ganarse su confianza. Finalmente, cuando la v¨ªctima intenta retirar sus fondos, los estafadores exigen tarifas de retiro o citan alguna otra raz¨®n, por ejemplo, problemas fiscales, para no poder recuperar sus fondos. Los estafadores pueden entonces bloquear a la v¨ªctima de su cuenta y embolsarse los fondos restantes, lo que hace que la v¨ªctima haya perdido la mayor parte del dinero que invirti¨®¡±, indican los analistas de Unit 42.

Regulaci¨®n

Los gobiernos alrededor del mundo ya est¨¢n intentando regular esta tecnolog¨ªa, aunque en la mayor¨ªa de lugares la legislaci¨®n es muy reciente. Un ejemplo de es la Ley de Inteligencia Artificial de la Uni¨®n Europea (aprobada en 2023), que representa la primera regulaci¨®n importante centrada en la inteligencia artificial e incluye disposiciones que abordan espec¨ªficamente los deepfakes. ¡°Esta legislaci¨®n tiene como objetivo imponer controles m¨¢s estrictos sobre las tecnolog¨ªas de IA, garantizando la transparencia y la rendici¨®n de cuentas en su uso, incluida la identificaci¨®n de contenido manipulado¡±, explican en Cyberpeace Institute.

No obstante, los expertos en ciberseguridad coinciden en que todav¨ªa hay mucho camino por delante en cuanto a regulaci¨®n. ¡°El reglamento va a necesitar codificarse y garantizar que todos los Estados miembros los pueden aplicar. El uso de inteligencia artificial generativa para estafas, por ejemplo, es un ¨¢ngulo que todav¨ªa se debe desarrollar. Ahora mismo no puede cubrir todos los ¨¢mbitos de actuaci¨®n porque no sabemos todos los usos que podr¨¢ haber¡±, se?ala Raquel Jorge, investigadora del Real instituto Elcano a EL PA?S.

Los expertos consultados coinciden en que estas herramientas a menudo son utilizadas para reinventar antiguas formas de estafa que se aprovechan del factor humano. ¡°Los ataques contra individuos son el ¨¢rea en la que este tipo de campa?as van a seguir creciendo exponencialmente, por ejemplo en las estafas en que el delincuente pretende ser un familiar. La mayor¨ªa de personas no est¨¢ al tanto de lo sencillo que es utilizar estas herramientas para replicar la voz de una persona. Pueden utilizar una grabaci¨®n de una llamada para clonar la voz de alguien y contactar a uno de sus seres queridos, o incluso tomarlas desde sus redes sociales. Son las mismas estafas que se hac¨ªan antes, pero en una versi¨®n actualizada¡±, explica a EL PA?S Kyle Wilhoit, director de investigaci¨®n de amenazas en Unit 42.

Los expertos de Cyberpeace coinciden con este diagn¨®stico, y a?aden que este tipo de modalidades tambi¨¦n afectan a las empresas. ¡°El fraude es otra preocupaci¨®n creciente, ya que la tecnolog¨ªa deepfake se utiliza en estafas telef¨®nicas dirigidas a bancos y empresas. Los cibercriminales clonan las voces de empleados o ejecutivos, manipulando t¨¢cticas de ingenier¨ªa social para autorizar facturas falsas u otras transacciones financieras¡±, asegura Duguin.

Ecosistema criminal

Entre las principales razones que ha impulsado el uso de esta herramienta por parte de los criminales se encuentra la aparici¨®n de distintas plataformas que ofrecen servicios de deepfakes. ¡°Nuestros investigadores han encontrado cibercriminales que venden, discuten e intercambian herramientas y servicios de creaci¨®n de deepfakes en foros, canales de chat en redes sociales y plataformas de mensajer¨ªa instant¨¢nea. Estas herramientas y servicios ofrecen capacidades para generar contenido enga?oso y malicioso, incluidos audio, video e im¨¢genes¡±, explican en Palo Alto Networks.

En Cyberpeace institute destacan que han aparecido mercados especializados en los que individuos o grupos pueden publicar solicitudes de contenido personalizado. ¡°Esto tiene el potencial de crear un nuevo mercado laboral para delincuentes expertos, algunos de los cuales est¨¢n dispuestos a pagar hasta 16.000 d¨®lares [unos 14.300 euros al cambio] por un deepfake de alta calidad. Si bien el grupo de delincuentes capaces de producir este tipo de material es actualmente limitado debido a la experiencia t¨¦cnica requerida, la demanda est¨¢ claramente presente, sentando las bases para que este nicho se expanda¡±.

Los expertos tambi¨¦n advierten que una ¨¢rea en crecimiento es el fraude documental, ya que los delincuentes utilizan cada vez m¨¢s la tecnolog¨ªa deepfake para manipular documentos de identidad al transformar las caras de los titulares de pasaportes leg¨ªtimos con las de aquellos que intentan obtener documentos falsos. ¡°Esto les permite eludir los sistemas de reconocimiento facial, lo que amplifica el riesgo de fraude documental avanzado para los grupos del crimen organizado involucrados en actividades como el tr¨¢fico de personas o la inmigraci¨®n ilegal¡±, afirma Duguin.

¡°Un ejemplo es el de los delincuentes tailandeses, que han utilizado deepfakes para hacerse pasar por agentes de polic¨ªa y directores financieros, manipulando a las v¨ªctimas en estafas o fraudes financieros. Estos incidentes sugieren que las bandas criminales est¨¢n explorando el potencial de los deepfakes, en particular para la suplantaci¨®n de identidad en ataques de ingenier¨ªa social. Aunque todav¨ªa no hay un perfil claro de estas organizaciones, el uso de estas herramientas por parte del crimen organizado apunta a una creciente complejidad, en la que las redes criminales tradicionales est¨¢n integrando cada vez m¨¢s tecnolog¨ªas avanzadas para llevar a cabo sus operaciones¡±, advierte el experto del Cyberpeace Institute.

De forma similar, otra tendencia m¨¢s reciente es la proliferaci¨®n de ¡°empleados deepfake¡±, una modalidad que utiliza informaci¨®n de identificaci¨®n personal robada para hacerse pasar por candidatos leg¨ªtimos y postular a puestos remotos o de teletrabajo. ¡°Esta t¨¦cnica crea una puerta trasera para que los cibercriminales se infiltren en las empresas haci¨¦ndose pasar por nuevos empleados, lo que les da acceso a sistemas y datos corporativos confidenciales. Estos avances apuntan a un panorama en evoluci¨®n en el que esta tecnolog¨ªa no solo es una herramienta para el fraude, sino tambi¨¦n la base de nuevos roles delictivos, lo que permite operaciones m¨¢s sofisticadas y enga?osas en diversas actividades il¨ªcitas¡±, comenta Duguin.

En esta l¨ªnea, otro de los temas que m¨¢s alarma a los expertos es que estas herramientas est¨¢n logrando vulnerar tambi¨¦n a la tecnolog¨ªa biom¨¦trica que se utiliza para verificaci¨®n de identidad en sistemas de seguridad y aplicaciones. Duguin adiverte: ¡°Una de las principales preocupaciones es el reconocimiento facial. Esta tecnolog¨ªa, en particular el intercambio de rostros o la transformaci¨®n, presenta un riesgo significativo para estos sistemas, que dependen del an¨¢lisis de los rasgos faciales para la autenticaci¨®n¡±.

As¨ª, los deepfakes pueden generar videos din¨¢micos muy realistas, capaces de enga?ar a un software de reconocimiento facial avanzado y de eludir el control de verificaci¨®n de, por ejemplo, el tel¨¦fono. ¡°La biometr¨ªa de voz tambi¨¦n es vulnerable a la voz deepfake. A medida que la generaci¨®n de voz deepfake se vuelve m¨¢s sofisticada, existe un mayor riesgo de que actores maliciosos puedan clonar la voz de alguien para obtener acceso no autorizado a sistemas que dependen de la verificaci¨®n de voz¡±, a?ade.

Tendencias es un nuevo proyecto de EL PA?S, con el que el diario aspira a abrir una conversaci¨®n permanente sobre los grandes retos de futuro que afronta nuestra sociedad. La iniciativa est¨¢ patrocinada por Abertis, Enag¨¢s, EY, Iberdrola, Iberia, OEI, Redeia, Santander, Telef¨®nica y el partner estrat¨¦gico Oliver Wyman.

Puedes apuntarte aqu¨ª para recibir la newsletter semanal de EL PA?S Tendencias, todos los martes, de la mano del periodista Javier Sampedro.