Suplantación de identidad en la era de la IA

¿Estoy seguro? Esta es la nueva pregunta clave que debes hacerte siempre que recibas una petición extraña por correo, mensaje de voz o, incluso, videollamada.

BBVA PivotciberseguridadSuplantación de identidad en la era de la IA

Bienvenido a la era de la Inteligencia Artificial (IA) y los deepfakes, una era que desafía lo que vemos y oímos, y se aprovecha de cómo solemos tomar decisiones rápidas.

La IA está revolucionando los ciberataques rápidamente, consiguiendo que las máquinas emulen las redes neuronales humanas. Aprende de las interacciones con usuarios, generando redes de conocimiento capaces de distorsionar la realidad, llegando a suplantar la identidad humana, uno de los mayores riesgos a los que nos enfrentamos.

Según Adrian Flecha, técnico de ciberseguridad de INCIBE-CERT, “la suplantación de identidad es cualquier intento deliberado de hacerse pasar por otra persona o entidad, utilizando información personal, profesional o corporativa, con el objetivo de engañar, manipular o realizar acciones fraudulentas que resulten en un beneficio económico, social o en el acceso indebido a datos sensibles”.

Pero, ¿qué son los deepfakes? Los deepfakes son imágenes, vídeos y audios falsos, extremadamente convincentes, generados mediante IA que utilizan algoritmos de aprendizaje profundo y colecciones de imágenes, audio y grabaciones de vídeo de la persona a la que buscan suplantar. Estos pueden hacernos sentir incapaces de distinguir entre contenido real y falso, aunque parezca totalmente realista. 

Al igual que ocurre con otros ataques de ingeniería social, en los deepfakes con intención fraudulenta los ciberdelincuentes emplean todos los principios de persuasión posibles para que caigas en su trampa, destacando el principio de urgencia y de autoridad. Estos nos presionan para actuar rápido, sin darnos tiempo a pensar con calma.

Según un estudio realizado por Signicat, los deepfakes representan el 6,5 % del total de intentos de fraude, lo que supone un aumento del 2137 % en los últimos tres años.

Los ciberdelincuentes pueden suplantarnos mediante dos tipos fraudes de identidad: el fraude tradicional, en el que roban la identidad completa extrayendo datos biométricos y empleando IA para apropiarse de cuentas de forma fraudulenta, contratar servicios, engañar a familiares y amigos, etc.; o mediante el fraude de identidad sintética, donde roban información personal real que combinan con información ficticia, generada por IA, originando una identidad falsa que les permite crear un historial y establecer credibilidad paulatinamente, dificultando así ser detectada fácilmente.

Cuando los estafadores intentan engañarnos mediante la suplantación de identidad con deepfake debemos:

  1. Dudar ante peticiones inusuales. Si la solicitud no es habitual, la persona que nos la solicita nunca ha contactado con nosotros o algo resulta sospechoso debemos asegurarnos de que la fuente es fiable. Debemos acostumbrarnos a hacer una pausa y pensar dos veces, en lugar de confiar automáticamente en lo que vemos o leemos.

  2. Examinar detenidamente el contenido. Busca activamente detalles que no encajen o parezcan sospechosos, no te quedes solo con lo que parece real a primera vista. Siempre debemos analizar el contexto y fijarnos en detalles específicos según el tipo de contenido.

    1. En las imágenes, analizar detenidamente los detalles, la iluminación y las sombras.

    2. En los audios, prestar atención al lenguaje que emplea, el tono, el ritmo y los ruidos de fondo. 

    3. En los  videos, además de analizar el audio, observar el lenguaje no verbal, la forma del cuerpo y rostro, especialmente los movimientos faciales; la boca y ojos serán claves para determinar si el audio coincide con el movimiento y si existe un parpadeo natural.

  3. Apoyarnos en la tecnología. La IA genera una dualidad interesante, ha revolucionado tanto el ámbito de la ciberdelincuencia como el de la ciberseguridad. De hecho, en el campo de la ciberseguridad, la IA puede ayudar a identificar amenazas que de otra manera escaparían al ojo humano.

Aunque,  ¿cómo podemos protegernos frente a la suplantación de nuestra propia identidad?

  1. Hazlo fácil y seguro: Activar la autenticación en dos pasos es una forma sencilla de añadir una barrera de protección muy fuerte, siempre que sea posible.

  2. Autenticando la identidad de la persona, web o empresa a la que facilitamos nuestra información.

  3. Controla tu información: Piensa bien qué datos personales compartes online. Cuanta menos información des, menos material tendrán para intentar suplantarte.

  4. Evita el exceso de confianza (“a mí no me pasará”): Estar al día de las amenazas te ayuda a ser consciente de los riesgos reales, aunque no te haya ocurrido nada todavía.

Estas prácticas nos harán estar preparados y saber cómo debemos actuar para enfrentarnos a esta nueva era en la que la IA evoluciona constantemente. Crear el hábito de dudar un poco y comprobar las cosas antes de actuar es nuestra mejor defensa en este entorno que cambia constantemente.