Esta semana, el prestigioso fabricante italiano de automóviles Ferrari se ha
convertido en el objetivo de un sofisticado intento de estafa basado en el uso
de inteligencia artificial, un caso del «fraude del CEO», que
involucraba el uso de deepfake para suplantar al CEO de la compañía, Benedetto Vigna, en un intento por engañar a otro directivo y así
comprometer la seguridad financiera de la empresa.
El martes pasado un ejecutivo de Ferrari comenzó a recibir una serie de
mensajes inusuales en su WhatsApp, supuestamente provenientes del citado
Vigna: los mensajes hacían referencia a una importante adquisición en la que
la empresa estaba trabajando y solicitaban la ayuda del ejecutivo para firmar
un Acuerdo de Confidencialidad.
Sin embargo, los mensajes no provenían del número habitual de Vigna… y la
foto de perfil, aunque mostraba al CEO con gafas y traje frente al logotipo de
Ferrari, no era la habitual. Estos detalles levantaron las primeras sospechas.
En ese momento fue cuando los estafadores subieron la apuesta y se
atrevieron a realizar una llamada telefónica recurriendo a un deepfake de
voz: la voz misma y su acento del sur de Italia habían sido perfectamente
simulados, pero al directivo le ‘escamaron’ las ligeras entonaciones
mecánicas en la voz de su interlocutor.
Así, después de que el falso CEO mencionase un acuerdo confidencial que podría
enfrentarse a problemas relacionados con China y que requería una operación de
cobertura de divisas, el directivo receptor de la llamada decidió verificar su
identidad preguntando por el título de un libro que Vigna le había recomendado
recientemente. Ante esta pregunta, el estafador finalizó abruptamente la
llamada.
Tras este intento de estafa, Ferrari inició una investigación interna. Los
representantes de la compañía en Maranello, Italia, se han negado a realizar
comentarios sobre el incidente.
Caso KnowBe4
KnowBe4 necesitaba un ingeniero de software para su equipo interno de
inteligencia artificial de TI. Publicaron la búsqueda de trabajo, recibieron
currículums, realizaron entrevistas y verificaciones de antecedentes,
verificaron referencias y contrataron a una persona.
El equipo de RRHH de la empresa realizó cuatro entrevistas por
videoconferencia en distintas ocasiones, confirmando que la persona coincidía
con la foto proporcionada en su solicitud. Además, se realizó una verificación
de antecedentes y todas las demás verificaciones estándar previas a la
contratación y no hubo problemas debido a que se utilizó una identidad robada.
Se trataba de una persona real que utilizaba una identidad válida pero
robada con sede en EE.UU. La imagen estaba «mejorada» con IA.
Resulta que se trataba de un trabajador de TI falso de Corea del Norte. La
imagen que se ve es una falsificación de IA que comenzó con fotografías de
archivo.
Según la evaluación de las actividades por parte de los equipos del SOC, se
descubrió que esto podría haber sido intencional por parte del usuario y se
sospecha que podría ser un actor de amenaza interna o de un estado nacional.
Tras la investigación inicial y la contención del equipo entregado al usuario
para sus labores, se llevó a cabo una investigación más detallada sobre el
nuevo empleado.
El atacante realizó varias acciones para manipular archivos del historial de
sesiones, transferir archivos potencialmente dañinos y ejecutar software no
autorizado.
La forma en que esto funciona es que el trabajador falso solicita que su
estación de trabajo sea enviada a una dirección que es básicamente una «granja
de computadoras portátiles de mulas de TI». Luego, se conectan mediante VPN
desde donde realmente están físicamente (Corea del Norte o al otro lado de la
frontera con China) y trabajan en el turno de noche para que parezca que
trabajan durante el día en EE.UU. La estafa es que realmente están haciendo el
trabajo, reciben un buen salario y dan una gran cantidad a Corea del Norte
para financiar sus programas ilegales.
No son los primeros casos
En casos anteriores, han sido los propios CEO los que han caído en un timo al
ser suplantada la identidad de un directivo de su empresa o de alguna compañía
colaboradora. Así, el español Jaime Ondarza, CEO de Fremantle para el Sur de
Europa, fue despedido hace unos meses tras ser víctima de una estafa por
WhatsApp en la que transfirió
casi un millón de euros a estafadores
que se hicieron pasar por otra empresa del sector.
PREVENCIÓN
-
Escanear los dispositivos para asegurarse de que nadie los use de forma
remota. -
Mejor verificación, asegurándose de que se encuentran físicamente donde se
supone que deben estar. - Mejor análisis de currículums para detectar inconsistencias profesionales.
-
Grabar las personas frente a una cámara de video y pregúnteles sobre el
trabajo que están haciendo. -
La dirección de envío de la computadora portátil, que es diferente de donde
se supone que viven o trabajan, es una señal de alerta. -
La verificación de antecedentes puede ser inadecuada, se debe verificar
cualquier inconsistencia entre datos, imágenes y video. -
Verificar las referencias adecuadamente. No coniar solo en las referencias
por correo electrónico. -
Implementar un monitoreo mejorado para detectar cualquier intento continuo
de acceder a los sistemas. -
Revisar y fortalecer los controles de acceso y los procesos de
autenticación. Realizar capacitación de concientización sobre seguridad para
los empleados, haciendo hincapié en las tácticas de ingeniería social. -
El uso de números VOIP y falta de «huella digital» para la información de
contacto proporcionada. -
Verificar discrepancias en la dirección y la fecha de nacimiento en
diferentes fuentes. -
Verificar la información personal conflictiva (estado civil, «emergencias
familiares» que expliquen la falta de disponibilidad, etc.). -
Uso sofisticado de VPN o máquinas virtuales para acceder a los sistemas de
la empresa. -
Intentos de ejecución malware posteriores y realizar esfuerzos de
encubrimiento. -
El sujeto puede demostrar un alto nivel de sofisticación en la creación de
una identidad encubierta creíble, explotando las debilidades en los procesos
de contratación y verificación de antecedentes e intentando establecer un
punto de apoyo dentro de los sistemas de la organización. -
Se destaca la necesidad crítica de procesos de investigación más sólidos,
monitoreo de seguridad continuo y una mejor coordinación entre los equipos
de RRHH, TI y seguridad para protegerse contra amenazas persistentes
avanzadas.
Fuente:
KnowBe4