Historias Reales: un deepfake de mi jefe circulando por la Red

Es miércoles y Luis, el director de marketing de una empresa de refrescos, se levanta de la cama y lo primero que hace es mirar el teléfono. La semana que viene tiene un congreso y tiene mucho trabajo por delante.

Al mirar el teléfono ve que la empresa tiene infinidad de menciones en Twitter.
“¿Qué pasará?”, dice para sí mismo Luis mientras abre la red social.
Al entrar y ver las menciones, todas ellas criticando a la empresa, se da cuenta que tienen algo en común: hacen referencia a un vídeo.
Tras pulsar en el enlace del vídeo para ver lo que es se queda con la boca abierta, ¡es un video de Fernando, CEO de la propia empresa, hablando mal del producto y criticando a los clientes que lo consumen!
Acto seguido recibe un mensaje de Fernando:

Tras coger el coche y subir a la oficina entra al despacho de Fernando. Se lo encuentra con las manos en el cabeza apoyado en la mesa. 

- Luis: ¿Qué ha pasado? ¿Qué es esto? – dice mientras le enseña el vídeo. 
- Fernando: ¡Por supuesto que no soy yo! Jamás diría algo así. ¡Eso es falso!
- Luis: Ya lo sé Fernando, pero en el vídeo sales tú, con tu cara, tu voz… ¡Hasta tus gestos! ¿Cómo han hecho esto?
- Fernando: No tengo ni idea, hay que desmentir esto como sea, se va a hundir la empresa. Además, tenemos un congreso la semana que viene, ¿cómo voy a dar una ponencia después de esto? – dice mientras mira el vídeo.

¿Qué ha ocurrido?

Un ciberdelincuente ha elaborado un deepfake de Fernando, el CEO de la empresa, utilizando su cara y su voz para dañar la reputación de esta.

El deepfake es una técnica que permite superponer en un vídeo el rostro de una persona en el de otra, añadiendo su voz y sus gestos para que parezcan los de la persona suplantada.

Deep en el acrónimo deepfake viene de Deep Learning, es decir, aprendizaje profundo, que es un campo de la inteligencia artificial. Hay dos tipos de deepfakes que utilizan algoritmos de Deep Learning:

• Deepvoice: uniendo fragmentos de voz de la víctima se replica su voz para decir otro mensaje. El resultado es muy convincente, por lo que los ciberdelincuentes podrían hacerse pasar por alguien en una llamada de teléfono o en un mensaje de voz. 
• Deepface: uniendo fragmentos de contenido multimedia en los que aparezca la víctima se consigue suplantar la cara de esta y sus gestos. Unido al anterior los ciberdelincuentes pueden suplantar a una persona en videollamadas o vídeos en general.

Esto supone un gran riesgo para la empresas, ya que modificando solo la voz, un ciberdelincuente podría realizar llamadas en nombre de la directiva de una empresa, incluso a nivel interno, autorizando transferencias, asignando permisos a usuarios o tomando cualquier tipo de decisiones perjudiciales.

¿Cómo estar preparado ante un deepfake?

Evitar que nos suplanten con un deepfake no está al alcance de la persona ni de la empresa, más aún en estos tiempos en los que utilizamos nuestra imagen y nuestra voz para todo tipo de acciones comerciales. No obstante, sí se pueden seguir algunas medidas proactivas para mitigar los daños que podría ocasionar:

1. Monitorizar las redes sociales: es muy importante llevar un control, ya no solo de las menciones a la cuenta de la empresa, sino de los hashtags o localizaciones de la empresa.
2. Establecer un plan de crisis: en caso de que esto suceda, es aconsejable tener preparado un plan para hacerle frente, frenarlo y reaccionar a tiempo y con contundencia.
3. Formar y concienciar al personal para detectar suplantaciones: sobre todo a aquellas personas que trabajan en puestos relacionados con pagos o que gestionan servicios clave para la empresa.
4. Tomar precauciones cuando se usen videoconferencias.
5. Actualizar los procedimientos de pago: de forma que todos los pagos tengan que ser autorizados por correo electrónico o de forma presencial y nunca por teléfono. Además, en caso de ser pagos mayores, que sean autorizados por más de una  persona en la empresa. 
6. Contratar un seguro: verificando que tenga cobertura ante fraudes basados en deepfake.

¿Qué hacer si somos víctimas de un deepfake?

Si tu empresa es víctima de un deepfake, estos son los pasos que deberías seguir:

1. Solicitar a la cuenta que lo subió que lo borre: si llevamos una correcta monitorización de nuestras redes, podremos enterarnos de estas situaciones al principio y tomar medidas lo antes posible. En este caso, hay que actuar antes de que el vídeo se expanda por las redes sociales.  
2. Denunciar lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía o Guardia Civil) para que los hechos puedan ser investigados. No todos estos casos llegan a ser esclarecidos, pero servirá para poner de relevancia la problemática asociada a estos casos.
3. Notificar el incidente a INCIBE-CERT o ponerte en contacto con Tu Ayuda en Ciberseguridad de INCIBE si precisas más información sobre este tipo de incidentes.

La realización de comentarios negativos o falsos sobre una organización puede tener consecuencias legales. La legislación española contempla acciones tanto civiles como penales dirigidas a proteger el honor y reputación de la empresa.

A pesar de las medidas reactivas a aplicar (retirada de comentarios, acciones legales, etc.), la capacidad de difusión de estos canales aumenta el daño sobre la reputación online de las entidades.

Volviendo al caso de la historia real, la campaña de descrédito que sufrió la empresa de Fernando implica que su negocio se vea seriamente afectado al perder clientes.

Por último, es necesario tener en cuenta que la información en Internet no desaparece con el tiempo. La acción de los buscadores, que muestran a menudo informaciones pasadas, pueden tener consecuencias negativas sobre la valoración que los internautas tienen de las empresas, al hacer que determinados hechos sigan generando un impacto negativo a pesar de estar solucionados.

Recuerda que puedes contactar con nosotros a través del servicio Tu Ayuda en Ciberseguridad de INCIBE o mediante el formulario de contacto que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto o duda relacionada con el uso de la tecnología e Internet.