Engañado por un deepfake: le envía 24 millones a un jefe falso generado por IA

Los estafadores organizaron una videoconferencia donde los jefes y compañeros eran falsos y solo el engañado era una persona real.

Gonzalo Díaz Bonet.

Especialista en Tecnología y Sostenibilidad.

Guardar

Foto de chris montgomery en unsplash
Foto de chris montgomery en unsplash

La historia es tan excesiva que resulta difícil de creer. Pero no se trata de una noticia falsa. Más al contrario, el protagonista de la misma se vio envuelta en una intrincada confabulación de deepfakes que le hicieron creer que su jefe le reclamaba un traspaso de 24 millones de euros, cosa que en realidad no había hecho nunca. 

El suceso tuvo lugar un Hong Kong, donde el trabajador de una compañía cuyo nombre no ha trascendido recibió un mail de su jefe reclamando un traspaso por valor de 23,79 millones de euros. El trabajador sospechó al momento de que se podía tratar de un intento de phising, por lo que emplazó a su superior a organizar una videoconferencia para aclarar el asunto. 

Su jefe accedió de inmediato, e incluso convocó a otras personas de la misma empresa. Durante el encuentro, los directivos confirmaron la existencia de la operación y volvieron a reclamar los casi 24 millones de euros. Tras hablar con ellos, el empleado accedió de inmediato y realizó la transacción. 

Solo que no eran reales. El jefe y los compañeros de oficina habían sido creados con inteligencia artificial, con una apariencia tan conseguida que fueron capaces de interactuar en directo con el empleado durante largo tiempo sin que este sospechase nada. Un robo digno de los protagonistas de La Casa de Papel o de alguna versión de Ocean’s Eleven. 

Según relata la CNN,  la policía de Hong Kong ha detenido a seis personas relacionadas con este fraude, que no es el primero de este tipo que se registra. En al menos 20 ocasiones se han utilizado deepfakes de IA para engañar a los programas de reconocimiento facial imitando a las personas que aparecían en los documentos de identidad. 

Ninguno, eso sí, tan elaborado como este caso, que marca un cambio de tendencia en las estafas relacionadas con deepfakes. Si hasta ahora estos timos se focalizaban en las relaciones o reuniones “cara a cara”, ahora implican a más de dos personas y nos enseñan que debemos desconfiar también de las videoconferencias. 

“El empleado era la única persona real en la videoconferencia y, aunque el resto parecían y sonaban como compañeros suyos, en realidad eran personajes creados por los estafadores basándose en auténticas conferencias online celebradas en el pasado. Creo que el estafador descargó vídeos con antelación y luego utilizó inteligencia artificial para añadir voces falsas para usarlas en la videoconferencia", explicó el superintendente principal de la Policía de Hong Kong, Baron Chan

Según el informe 2023 Data Breach Investigations de Verizon, el 74% de las brechas de datos implican un factor humano. Eso está relacionado con la falta de concienciación sobre ciberseguridad de algunos empleados y usuarios. Pero no siempre es así. En algunos casos, la sofisticación de los ataques es tal que ni los trabajadores más preparados pueden evitar el engaño. 

Eso es precisamente lo que le ocurrió al protagonista de esta historia. Aunque en un principio sospechó de que podía tratarse de un ataque de phising (correos maliciosos que pretenden engañar a sus destinatarios), luego lo descartó al ver el realismo de la videoconferencia. Por ello, es conveniente prever con antelación los daños que un ciberataque pude causar a cualquier compañía o institución. 

A ello se dedica precisamente Armatum, una plataforma española desarrollada con inteligencia artificial que permite conocer de antemano el coste económico que puede suponer un ataque antes de que se produzca. Daños que, no olvidemos, van más allá de lo económico al afectar también a la reputación de una compañía, y que previsiblemente seguirán creciendo en los próximos años dado a la creciente sofisticación en los engaños.