Armado con poco más que un Flipper Zero, algunas aplicaciones especializadas en deepfakes y el deseo de causar travesuras, recientemente demostré lo fácil que es hacerse pasar por cualquier persona del planeta de manera realista.
Puedo ser el actor más popular de Hollywood sin tener que salir de mi ciudad natal, Bournemouth. Puedo ser Jason Bourne sin escalar ningún edificio, o puedo ser el lobo de Wall Street, lamentablemente sin haber salido nunca con Margot Robbie.
¿Cómo? Bienvenidos a la era de la IA.
Hoy vivimos en un mundo donde todo es posible gracias a la creatividad y la intuición de la IA y los deepfakes.
Podemos clonar figuras influyentes y difundir información errónea.
Podemos irrumpir en las oficinas, pretender ser el director ejecutivo y tomarnos una selfie desde la sala de juntas, que es exactamente lo que hice recientemente.
Tenía la misión de demostrar que la IA, combinada con intenciones maliciosas, ha abierto un ámbito completamente nuevo y peligroso en el dominio cibernético, ofreciendo a los delincuentes un potencial ilimitado para llevar a cabo estafas al estilo Misión Imposible.
Pero para demostrar mi punto, necesitaba un candidato dispuesto.
A pesar de haber agotado a muchos de mis amigos por mis esfuerzos de piratería basados en la investigación, encontré un participante dispuesto en Jason Gault, el fundador de TeamJobs.
El desafío estaba planteado, debía entrar a la fuerza en las oficinas de Jason, pasar todas sus capas de seguridad, sin que nadie sospechara nada.
Jason era el candidato perfecto para mi experimento. Tiene miles de seguidores en LinkedIn, magníficas oficinas en Dorset y fue lo suficientemente ingenuo como para creer que lo que le proponía era imposible.
Alerta de spoiler: estaba equivocado.
En la primera etapa de mi experimento, pude robar la tarjeta RFID de la oficina de Jason en una reunión, que sabía que me daría acceso al edificio.
Hice esto usando un pequeño dispositivo llamado Flipper Zero. Un Flipper Zero puede clonar casi cualquier señal que encuentre, desde las llaves del auto hasta las llaves del hotel, las llaves de la oficina y las tarjetas de crédito. Actualmente se vende en Amazon por menos de £180, lo cual es poco dinero considerando el potencial de ganar dinero que ofrece a los delincuentes.
Una vez que la tarjeta RFID estuvo en mi poder, tuve que pasar por las cámaras de circuito cerrado de televisión y los guardias de seguridad del edificio. Pero esto nuevamente resultó ser sencillo usando una herramienta llamada Swapface. Utilicé la herramienta para cambiar mi rostro para que cuando pasara junto a las cámaras de CCTV los guardias de seguridad no me reconocieran.
Una vez que pasé las cámaras de CCTV, estaba a salvo en el edificio y me dirigí a la sala de juntas donde logré engañar a un empleado desprevenido de Jason para que me tomara una foto. Fue así de simple. Jason y yo quedamos sorprendidos de lo bien que funcionó.
Pero esta fue sólo la primera parte del experimento. En la siguiente etapa, decidimos poner a prueba mis habilidades en LinkedIn para ver si podía engañar a los más de 2000 seguidores de Jason.
Una vez más, fue pan comido.
Usando HeyGen AI, publiqué un video de Jason en LinkedIn anunciando un ciclo de parodia desde el Reino Unido hasta Australia. Jason es un gran fanático del ciclismo, por lo que no fue muy increíble para sus seguidores, pero cuando el video fue visto por más de 4000 personas y cientos de personas le dieron me gusta y lo comentaron, supe que lo había logrado.
Al final, después de una llamada frenética del director financiero de Jason preguntándose dónde estaría durante los próximos seis meses, nos vimos obligados a eliminar el video antes de tiempo, pero el experimento destacó el poder de los deepfakes para difundir información errónea.
Estos fueron solo experimentos que llevé a cabo utilizando aplicaciones ampliamente disponibles, pero ¿imaginas lo que podría hacer un adversario?
Imagínese si un delincuente clonara a un director ejecutivo y engañara a los empleados para que realizaran una transferencia bancaria urgente, o publicara un vídeo de LinkedIn anunciando una recaudación de fondos benéfica.
Cuando las personas ven una cara que reconocen, confían en ella sin dudarlo. Pero en el mundo digital ya no podemos darnos ese lujo.
A las personas se les enseña a tener cuidado con los correos electrónicos de fuentes desconocidas, pero ¿qué pasa con las solicitudes que provienen de una cara reconocida? Los avances en deepfakes e inteligencia artificial significan que es posible que tampoco siempre podamos confiar en ellos.
Esto garantizará un ámbito completamente nuevo de capacitación en concientización sobre seguridad, donde todos los usuarios de computadoras recibirán capacitación sobre cómo detectar un deepfake, donde su vista debe ser muy aguda para detectar signos reveladores como sincronización de labios inexacta o gráficos oscuros.
Estos desafíos están en el horizonte y es vital que nos preparemos para ellos hoy.
Esta semana en DTX London organicé una sesión en la que se discutió el auge de los clones cibernéticos y cómo la IA está ayudando a los delincuentes de maneras que nunca se creyeron posibles.
Conduje a la audiencia a través de mis recientes ataques y le expliqué exactamente cómo pude falsificar la identidad de Jason Gault, irrumpir en sus oficinas y engañar a muchos de sus seguidores en LinkedIn, todo en unos pocos y sencillos pasos.
La sesión está diseñada para educar, sorprender y recordar a todos que ver no siempre es creer en el mundo digital.
Mantente a salvo ahí fuera.
Jake Moore es asesor global de seguridad cibernética en ESET. Jake, ex oficial de policía de Dorset y especializado en análisis forense digital y delitos cibernéticos, hizo la transición al sector privado en 2018 y ahora ayuda a guiar a los clientes a través de sus viajes de seguridad. También se le puede encontrar realizando investigaciones y análisis de seguridad y disfruta explorando oportunidades creativas de piratería ética, a menudo utilizando IA. Es un orador y comentarista frecuente de historias impactantes sobre seguridad cibernética.