Suplantación del CEO utilizando la técnica de inteligencia artificial deepvoice

Fecha de publicación 09/01/2024
Suplantación del CEO utilizando la técnica de inteligencia artificial deepvoice

¿Qué ha ocurrido?

Se pone en contacto con nosotros, a través del teléfono 017 del servicio Tu Ayuda en Ciberseguridad, el empleado de una empresa, indicándonos que hacía unos días habían recibido una llamada supuestamente de uno de los principales CEO de la empresa, en la cual solicitaba una reunión telefónica con algunos empleados.

Nos afirma que la voz era exactamente igual a la del CEO, por lo que en un principio no identificaron ningún tipo de factor a sospechar y convocaron la reunión, según las indicaciones que habían recibido.

Durante la reunión que mantuvieron de forma telemática, el supuesto CEO les comenta que les van a realizar una auditoría inminentemente y que para obtener un resultado positivo es necesario que compren una máquina. Antes de acabar la reunión, les da todas las indicaciones necesarias para realizar una transferencia a una cuenta bancaria con el fin de efectuar la compra.

Sin perder ni un segundo, para que la máquina llegase a tiempo para la auditoría, tras finalizar la reunión, realizan inmediatamente la transferencia.

Al cabo de unos días, y tras volver a hablar con el CEO, se dan cuenta de que han sido víctimas de una estafa. El supuesto CEO no era él y sospechan que utilizaron técnicas de inteligencia artificial para suplantarlo a través de deepvoice.

Ante esta situación, el protagonista decide llamarnos para que podamos darles soporte ante el incidente.

¿Qué pautas le hemos dado?

En primer lugar, le explicamos cómo se había producido el fraude, referenciando la técnica de deepfake, y en concreto deepvoice, en la que se clona la voz de alguien para suplantarle.

A continuación, le dimos las siguientes pautas reactivas para intentar minimizar el impacto del fraude del que habían sido víctimas:

  • Contactar con la entidad bancaria para contarles lo ocurrido y que puedan tomar las medidas de seguridad oportunas que estén dentro de sus capacidades para intentar anular la transferencia realizada.
  • En caso de respuesta negativa de su banco, presentar el caso en el Banco de España para intentar recuperar el dinero.
  • Bloquear el número de teléfono desde el que se recibieron la llamada.
  • Avisar a todos los empleados de la empresa de lo sucedido para que se mantengan alerta si reciben algún tipo de llamada similar.
  • Recopilar todas las evidencias de las que dispongan, como registros de la llamada y de la reunión, número de teléfono que les contactó, posibles grabaciones, etc.
  • Presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado con todas las pruebas recabadas.

Por otra parte, le recomendamos actualizar los procedimientos de pago, de forma que tengan que ser autorizados por correo electrónico o presencialmente y nunca por teléfono. Además, en caso de ser pagos mayores, que deban ser autorizados por más de una persona en la empresa.

Asimismo, le indicamos que, con carácter general, en los supuestos de deepfakes se produce un delito de suplantación de identidad tipificado en el Código Penal en el artículo 401, por lo que su CEO también podría presentar una denuncia antes las Fuerzas y Cuerpos de Seguridad del Estado por la suplantación de identidad que ha sufrido.

De forma preventiva, le facilitamos varias pautas para detectar deepfakes, en concreto, a través de deepvoice:

  • Utilizar el sentido común y tener una actitud crítica ante la información. Someter a un juicio crítico y sospechar de cualquier tipo de contacto por canales no habituales o peticiones extrañas, aunque provengan de personas de confianza.
  • En caso de duda, ponerse en contacto directamente con la persona para contrastar la información, a través de canales en los que se esté seguro de con quién se está hablando.
  • Formar y concienciar al personal para detectar suplantaciones, sobre todo a aquellas personas que trabajan en puestos relacionados con pagos o que gestionan servicios claves para la empresa.

Antes de despedirnos, le recordamos que si tenía alguna otra consulta sobre este u otro tema relacionado con la ciberseguridad, podía volver a llamar al servicio Tu Ayuda en Ciberseguridad de INCIBE.
 Tu Ayuda en Ciberseguridad

Etiquetas