Amenaza ola de deepfakes a la confianza en la banca digital
Uno de los problemas de la innovación es que deja poco tiempo para protegerse de ella, como lo ha dejado ver el tsunami de Inteligencia Artificial que ha golpeado a la industria tecnológica.
La creación de imágenes o sonidos falsos, en videos o audios denominados deepfakes, han llegado como una de las consecuencias más tangibles de la innovación tecnológica y, dado que el sector financiero es sinónimo de dinero, es uno de los más atractivos para los ciberdelincuentes.
Los bancos deberán hacer más que invertir en protección. Una tecnología así de rápida y avasallante necesita más que controles de autenticación multifactor, tokenización y encriptación de datos, sobre todo considerando que apenas comienzan a percibirse los efectos de esta nueva forma de atacar. Los expertos coinciden en que se requerirá una mayor concientización hacia los usuarios y un despliegue de tecnología diferente al que se ha venido utilizando.
“Los bancos tendrán que concientizar a sus clientes de los nuevos riesgos, con todo y que de los riesgos anteriores no acaban de crear conciencia. Es un tsunami que viene, aunque la tecnología en contra de los deepfakes irá incrementándose también, pero hoy por hoy no están y hay que saber adaptarnos”, explica en entrevista Ramón Santoyo, consultor y consejero de empresas en el sector financiero.
Hugo Werner, Vicepresidente Regional en en Akamai Technologies para Latinoamérica, coincide. “Toda el área de ciberseguridad y superficie de ataques se sigue expandiendo, y es importante que (tanto usuarios como instituciones financieras) se sigan educando en estos temas”, una postura que se complementa con la de Stuart Wells, director de tecnología (CTO) de Jumio, empresa de verificación de identidad y pagos móviles en línea, quien además, considera que es necesario que las instituciones bancarias opten por otro tipo de mecanismos de defensa.
“Es imperativo que los bancos inviertan en soluciones de verificación de identidad multifacéticas que no solo utilicen biometría y detección avanzada de vitalidad, sino que también incorporen mecanismos de detección de fraude en tiempo real, software diseñado para detectar intentos de ataque de inyección de cámara y medidas de autenticación continua”, aseguró en entrevista.
Sin embargo, por ahora hay una consideración muy importante, y es que los efectos de este tipo de ataques apenas comienzan a dejar estragos. “El gasto relacionado a la prevención de deepfakes es un gasto que hace tres años no existía. La inversión en temas de ciberseguridad es un rubro que ha crecido en las empresas con respecto a su costo de tecnología”, asegura Santoyo.
Pero considerando que entre 2022 y 2023 la detección de deepfakes ha crecido 10 veces a nivel mundial en diversas industrias, según el proveedor de verificación de identidad Sumsub, es urgente poner en práctica las medidas.
América Latina destaca como la región donde el fraude ha aumentado de manera significativa en todos sus países, mientras que los documentos de identidad continúan siendo los más vulnerables ante la explotación para el fraude de identidad, representando casi el 75% de todas las actividades fraudulentas relacionadas con documentos de identificación, según el estudio de Sumsub.
Aunque los estragos ya están aquí, para concientizar sobre el problema hay que entenderlo, como sugieren los expertos.
La trama de los “Clones Digitales”
En el bullicioso corazón financiero de Hong Kong, un trabajador de una empresa multinacional recibió un mensaje en su bandeja de entrada. Un correo electrónico aparentemente enviado por el director financiero de la empresa con sede en el Reino Unido que urgía una transacción secreta.
Aunque inicialmente parecía ser un intento de phishing, el siguiente paso en el elaborado plan fue una videollamada con lo que él creía que eran otros miembros del personal, convocada para discutir los detalles de la supuesta transacción. Lo que desconocía era que todos los rostros que veía en la pantalla eran recreaciones digitales, productos de la tecnología deepfake utilizada por los estafadores.
Confiando en lo que parecían ser sus compañeros de trabajo, el trabajador accedió a realizar la transferencia de fondos por un total de 25 millones de dólares. Pero la ilusión se desvaneció cuando el incidente reveló que el trabajador había sido una víctima de la tecnología deepfake.
Esta historia fue real, ocurrida en febrero de 2024, y hecha pública por la policía de Hong Kong. No muy diferente a la de Clive Kabatznik, un inversor de Florida quien sufrió un intento de estafa de clonación de voz. Los ciberdelincuentes se hicieron pasar por el representante local de Bank of America para hablar de una gran transferencia de dinero.
El rápido avance tecnológico, la reducción de los costos de los programas de inteligencia artificial generativa y la amplia disponibilidad de grabaciones y modificación de productos audiovisuales en internet han creado las condiciones óptimas para la dispersión de estas estafas; pero es en el sector financiero en el que se encuentra el poder del capital.
“Los estafadores ahora pueden eludir fácilmente las cámaras web o cámaras de teléfonos para inyectar contenido deepfake. A diferencia de los ataques tradicionales donde los estafadores simplemente colocaban una fotografía frente a la cámara o empleaban máscaras de silicona, los deepfakes son mucho más sofisticados. Han evolucionado hasta un punto en el que son imperceptibles para un ojo no entrenado”, explica Wells.
Este sector ya era un blanco de ataques desde antes de que esta tecnología se popularizara. En 2022 se registraron 1,829 incidentes cibernéticos en la industria financiera a nivel mundial, según datos de Statista. Sin embargo, en diciembre de 2023 el Fondo Monetario Internacional describía en un estudio que el sector financiero puede que sea el sector “con más que perder si la IA espolea el robo, el fraude, la ciberdelincuencia o incluso una crisis financiera que los inversionistas no pueden concebir en la actualidad”.
“Aunque este tipo de fraudes también se dan en diferentes sectores, su relación con el financiero es porque ahí se encuentra el capital”, explica Santoyo, quien añade que aunque es más difícil que el fraude se dé desde el banco hacia los usuarios, sigue involucrado en la estafa.
Pero, ¿de qué manera afectan los deepfakes a las instituciones financieras”. Los expertos explican que una de las mayores vertientes es la pérdida de la confianza.
La lucha para garantizar la confianza y mantener la reputación
Bien dicen que la confianza es como un espejo que se puede arreglar si está roto, pero que permanece la brecha en el reflejo. Este se ha convertido en un factor vital para las instituciones financieras para enganchar al usuario.
“El propósito de los deepfakes es robarle a alguien sus credenciales, o claves de acceso con base en la confianza, porque no te lo pide un desconocido como lo hacen en el caso de ingeniería social. En un deepfake parece que te lo pide alguien de tu confianza y de manera natural las personas bajan la guardia. Este producto logra romper una barrera más para que la víctima baje la guardia, basado en una explotación de la confianza”, asegura Santoyo.
Pero además de ser utilizado como un instrumento, también es la base de la relación de una institución financiera con sus clientes. Así lo explica Wells: “Los deepfakes representan una seria amenaza para la seguridad, la reputación y la rentabilidad de un banco”, asegura.
Otro escenario del sector financiero es el que tiene que ver con el panorama bursátil. “¿Qué pasa si aparece el director de una empresa dando un comunicado falso acerca de los resultados financieros de un banco, por ejemplo? La acción en la bolsa se desploma y crea un caos en cuanto que era una persona conocida y de reputación”, matiza Santoyo.
Pero en la actualidad, lo que golpea al sector son las transacciones de alto valor, según lo explica Werner. “El deepfake, en este momento, no necesariamente está afectando todos los niveles de transacciones, pero sí a cierto número de transacciones a un costo mucho mayor. Lo preocupante está en las transacciones que son mucho más altas en valor, donde el banco requiere que el cliente suba a una videoconferencia y en ese momento valide su identidad”.
Entonces, ¿qué les queda a las instituciones financieras para protegerse contra estas amenazas?
Mayor inversión en protección y concientización
Los expertos concuerdan en que se debe tener en cuenta una protección mucho más sofisticada, pues así es como se preparan las estafas.
“El sector de servicios financieros debe crear protocolos de ciberseguridad para proteger sus activos y empleados de amenazas deepfake cada vez más sofisticadas. Las organizaciones deberían implementar una verificación de identidad robusta en múltiples capas cuando los empleados inicien sesión en sus computadoras de trabajo, así como una autenticación continua. La inteligencia artificial también puede mejorar la seguridad al monitorear sutilmente actividad inusual como una capa adicional de seguridad, como verificar la ubicación del usuario a través de su dirección IP y verificar la confiabilidad del dispositivo utilizado”, explica el CTO de Jumio.
Santoyo concuerda y anticipa que se trata de un fenómeno que promete golpear fuertemente al sector. “Yo creo que la ola que viene en temas de deepfake va a ser grande. Nos va a afectar a todos porque nos baja la guardia y nos toma en situaciones mucho más difíciles. Tendremos que ser sumamente desconfiados, tendremos que usar segundos y terceros valores, sistemas de autenticación por otros medios, aun con nuestros seres más cercanos, y desarrollar claves”, asegura.
Pero además de eso, los bancos deberán tener en cuenta un factor no menos importante: el de la concientización, pues se debe fomentar una cultura centrada en la ciberseguridad. Para lograr esto, los empleados deben tener acceso a capacitación regular sobre las últimas tácticas de fraude, incluidos los deepfakes y cómo detectarlos. Las comunicaciones internas deben ser claras sobre el protocolo correcto para solicitudes que involucren información sensible o transacciones de alto riesgo, según lo explica Stuart Wells.
“Para lograr esto, los bancos pueden colaborar con proveedores de tecnología experimentados que comprendan profundamente estos ataques de deepfake y puedan compartir la experiencia y las herramientas necesarias para una defensa efectiva. Colaborar con estos socios puede mejorar significativamente la capacidad de un banco para detectar, prevenir y responder a estafas de deepfake y otras amenazas impulsadas por IA”, asegura.
Tanto Werner como Santoyo concluyen que la concientización irá de la mano con la exploración de la protección ante los ataques, en un contexto en el que actualmente los usuarios no terminan de relacionarse con este tipo de ataques.
Los expertos anticipan que la ola de deepfake golpeará duramente a este y a otros sectores, por lo que prepararse será primordial, además del acompañamiento de la regulación, que por razones de periodicidad llegará más tarde.
“Generalmente en este tipo de eventos en LATAM, las empresas que están más a la vanguardia van a adoptar este tipo de protección antes de una regulación, porque saben que siendo líderes tienen que asegurarse de su solidez financiera y de su reputación. La regulación siempre está atrás de la innovación".
"Le tengo más fe al hecho de que las instituciones privadas tomen la iniciativa de hacerlo antes, y la regulación vendrá después”, concluye Werner.