El pasado viernes, OpenAI presentaba Sora, una nueva herramienta de Inteligencia Artificial Generativa que permite crear vídeos hiperrealistas empleando lenguaje natural. Aunque todavía no ha salido al mercado, las posibilidades que brinda esta tecnología pueden marcar un antes y un después en la generación de contenidos audiovisuales, en línea con el camino iniciado por modelos de texto como ChatGPT o de imágenes como DALL·E o Midjourney.
Asomarse brevemente hoy al hype generado en las redes sociales tras los primeros ejemplos de lo que es capaz de hacer este nuevo modelo de Inteligencia Artificial tiene asegurado el encuentro con una legión de entusiastas deseosos de convertirse en los primeros en adoptarlo, pero también con una no menos numerosa masa de críticos. Desde quienes ven dramáticamente amenazado su puesto de trabajo hasta quienes plantean, nuevamente, cuestiones éticas y de seguridad. Con esta música de fondo, han vuelto a cantar ‘deepfake’.
El ‘hipertrucaje’, el término acuñado en castellano (’hipertrucatge’ en catalán) para referirse a los deepfake, asoma como un concepto central en las nuevas ciberestafas, donde las empresas son una víctima propicia y codiciada de unas organizaciones cibercriminales cada vez más profesionalizadas, con más recursos y con menos escrúpulos a la hora de actuar.
Recientemente, el empresario indio Ratan Tata fue protagonista de un hipertrucaje ilícito
En su último Resum de tendències de ciberseguretat, con datos de cierre del año 2023, la Agència de Ciberseguretat de Catalunya destacaba que en el último año, el número de deepfakes se había multiplicado por diez en todo el mundo, fruto de la creciente utilización de las herramientas de Inteligencia Artificial Generativa, mediante las que se generan hipertrucajes usados para suplantar identidades, pero también para crear identidades ficticias.
En este informe, la Agència de Ciberseguretat de Catalunya resalta que «estas imágenes, vídeos o voces trucadas se utilizan en la industria audiovisual, pero también para extorsiones, fraudes y otras acciones ilícitas».
Entre estas posibles acciones criminales se encuentran diversas formas de ciberestafa bien conocidas (como el phishing, que consiste en hacer creer al usuario que está en un sitio de confianza, el smishing, en el que los ciberdelincuentes utilizan mensajes de texto (SMS) para hacerse pasar por entidades legítimas, o el vishing, que se realiza a través de llamadas, en las que se suplanta la identidad de las empresas y organizaciones), que ahora ganan peligrosidad al volverse cada vez más elaboradas y sutiles.
Con el añadido de que, mayoritariamente, el grado de conocimiento de estas nuevas herramientas tecnológicas por parte de la población es muy reducido. En este mismo informe publicado por la Agència de Ciberseguretat de Catalunya este mes de febrero se señala que «una encuesta global a más de 16.000 personas destaca que un 71% de los encuestados no conocen qué es un deepfake, lo que evidencia una carencia significativa de concienciación», tras lo cual señala a España y Alemania como los países donde el nivel de desconocimiento es más alto, ambos con un 75% de su muestra.
Un 75% de la población española no sabe explicar qué es un ‘deepfake’ conocido también como ‘hipertrucaje’
Un ejemplo reciente de ciberestafa mediante técnicas de hipertrucaje tuvo como protagonista involuntario al empresario indio Ratan Tata, ex presidente del Grupo Tata, que tuvo que desmentir públicamente un vídeo hipertrucado suplantando su imagen, haciendo una serie de recomendaciones de inversiones financieras muy verosímiles, pero falsas.
El sector de la ciberseguridad, buscando igualar la partida con el cibercrimen (aunque casi siempre un paso por detrás), está ya inmerso en una carrera por sacar al mercado los primeros detectores de hipertrucajes, en los que trabajan empresas como Telefónica, que según la Agència de Ciberseguretat de Catalunya está explorando ya las posibilidades de una herramienta llamada Deep Fake Detector (DFD), inspirada en el test de Voight-Kampff de Blade Runner.
Un clásico del cine de ciencia ficción de 1982 dirigido por Ridley Scott, en el que el agente Rick Deckard (interpretado por Harrison Ford), daba caza a un grupo de replicantes (seres humanos creados con ingeniería genética) rebeldes, a partir de su detección mediante un test que buscaba anomalías imperceptibles al ojo humano que delatasen su naturaleza.
El Instituto Nacional de Ciberseguridad (Incibe) ha editado recientemente este decálogo para mejorar la ciberseguridad en las empresas.
En el caso del proyecto Deep Fake Detector (DFD) de Telefónica, desde la Agència de Ciberseguretat de Catalunya avanzan que, en lugar de Harrison Ford, quien llevará a cabo esa tarea será una red neuronal entrenada para buscar anomalías a partir del análisis de los ojos, los rasgos faciales y su simetría.
¿Están las empresas preparadas para lo que viene? Porque, tal y como adelantó Roy Batty, el último de los replicantes, en su monólogo final de aquella película con futuro distópico, filmada hace ya más de cuarenta años, «I’ve seen things you people wouldn’t believe». (En su doblaje en España, «yo he visto cosas que vosotros no creeríais»).
Decálogo de ciberseguridad, cómo mejorar el nivel de protección de tu empresa
1. Análisis de riesgos
Antes de implementar cualquier medida de ciberseguridad, es fundamental realizar un análisis de riesgos. Es importante identificar amenazas a las que se está expuesta y proponer medidas para mitigar sus efectos. Para hacer este análisis, en Protege tu empresa disponemos de una herramienta de autodiagnóstico para evaluar el estado de ciberseguridad de la empresa y fortalecer los aspectos que necesiten mejora.
2. Plan director de seguridad
Una vez que se han identificado los riesgos, es necesario elaborar un plan director de seguridad. Este plan debe definir los objetivos de seguridad de la empresa, los recursos necesarios para alcanzarlos y los responsables de su ejecución. Consulta nuestra guía para orientarte en la elaboración de este documento vital.
3. Control de acceso a la información
Esta medida es fundamental para proteger los sistemas y datos de la empresa. El control de acceso debe definir quién tiene acceso a qué información y cómo se controla este acceso.
4. Copias de seguridad
La realización de copias de seguridad es esencial para recuperar la información y sistemas en caso de incidentes. Realizarlas con periodicidad, hacer pruebas de restauración y valorar la posibilidad de cifrar la información almacenada son algunos de los criterios que se deben seguir.
5. Herramientas de protección
Se deben instalar herramientas de protección, como antivirus y antimalware, en todos los dispositivos y soluciones corporativas. La efectividad de estas herramientas radica en mantenerlas actualizadas frente a las amenazas emergentes.
6. Actualizaciones
Para asegurar la ciberseguridad de la pyme, todas las aplicaciones y sistemas deben estar al día en actualizaciones. Son primordiales para cerrar brechas y vulnerabilidades que los ciberdelincuentes podrían aprovechar. Evita ser una presa fácil.
7. Segurizar las comunicaciones
Reforzar la seguridad de las telecomunicaciones es crucial. Esto significa utilizar protocolos de seguridad adecuados, monitorizar las actividades realizadas en red, utilización de VPN, etc.
8. Proteger la información
Para la transcendencia del negocio, la información sensible y confidencial que manejamos debe estar protegida tanto en tránsito como cuando esté almacenada. Utilizar herramientas criptográficas evitará que los datos sean accesibles para terceros no autorizados. Además, se debe eliminar de manera segura la física, a través de empresas certificadas o destructoras, y la digital, mediante un borrado seguro.
9. Plan de continuidad de negocio
En caso de sufrir un incidente de seguridad, es importante tener un plan de contingencia para poder responder de forma rápida y eficaz. Este plan debe definir los pasos a seguir para dar una respuesta planificada ante cualquier suceso para minimizar su impacto y restaurar la actividad normal de la empresa lo antes posible.
10. Formación
La concienciación es clave. La seguridad de la empresa depende del compromiso y conocimiento de todos. Por este motivo, formar y sensibilizar a los empleados para que tengan buenas prácticas; reconozcan amenazas, como correos maliciosos, y utilicen contraseñas robustas, es fundamental.