Els Deepfakes a la trilogia Enginyeria Social, Intel·ligència Artificial i Ciberseguretat

La relació entre l'Enginyeria Social, la Intel·ligència Artificial i la ciberseguretat, sempre ha estat i hi serà, per a les coses bones i per a les dolentes. I entrellaçada entre elles es troba, fortament nuada, la debilitat humana, la vulnerabilitat humana, el factor humà.

Al voltant d'això hi ha múltiples riscos i amenaces en què intervenen tots o part d'aquests factors que, combinats com si d'un perillós cocktail molotov es tractés, contribueixen a la generació de ciberincidents que, encara que sembli increïble, en la majoria dels casos , són “recolzats”, “auspiciats” i “duts a terme” per les pròpies persones o víctimes atacades.

Sí, les persones són un dels vectors d'atac principals. Només cal que una persona realitzi una determinada acció, perquè un ciberatac tingui èxit, ja sigui aquest complex, o d'allò més simple. La clau és l'engany i la capacitat de convicció.

És cert que hi ha tecnologies i mecanismes molt complexos, potents i robustos que els ciberdelinqüents poden emprar i empren diàriament als seus ciberatacs. Però, sens dubte de cap mena, el factor humà és determinant en la majoria dels casos.

Òbviament, parlem de l'Enginyeria Social i de com, a través d'ella, es pot llançar una determinada “comunicació” o “sol·licitud” a una persona, perquè aquesta sigui el més convincent possible, aconseguint així que el destinatari faci allò que es vol que faci.

El poder “sensibilitzar” algú, el poder persuadir-lo, el poder posar-lo “del teu costat”, el convèncer-lo, és vital importància a la cadena d'atac. Com més fidedigna sembli la comunicació, més èxit obtindrà i, per tant, més èxit d'objectius i impacte.

No és el mateix escriure un correu electrònic qualsevol, d'una persona qualsevol, a qualsevol destinatari, demanant-li que faci alguna cosa, que fer-ho mitjançant un correu electrònic de suplantació d'identitat del director general de l'empresa (atac tipus BEC -Business Email Compromise-, i/ o frau del CEO), amb un contingut més que reconeixible, raonable i creïble, enviat a un empleat susceptible de caure en l'engany i de realitzar l'acció/tasca que se li demana.

Aquest és un exemple ben “simple”, realment. Però, i si a aquest model d'atac d'enginyeria social l'amanim a més amb Intel·ligència Artificial i altres tipus de tecnologies que el converteixi en missatge molt més convincent i ineludible? I si, per exemple, l'acompanyem d'un àudio o d'un vídeo (falsos, és clar, però de gran qualitat), on qui apareix és el mateix director general sol·licitant realitzar aquesta acció (encara que en realitat no sigui així) ?

Ja estem a l'era del ciberatac que pot emprar la intel·ligència artificial per enfortir els missatges d'enginyeria social, fent una excel·lent i indiscutible suplantació d'identitat, acomiadant així qualsevol mesura de ciberseguretat que puguem tenir establerta: l'ocupació de Deepfakes (de vídeos i /o d'àudio)!

La solució i la defensa rau, per tant i en bona part, en la conscienciació, la formació, la capacitació i el pensament crític que permeti analitzar convenientment l'escenari de l'equilibri intrincat entre enginyeria social, la intel·ligència artificial i la ciberseguretat, a l'era dels deepfakes, sent capaços de gestionar-ho adequadament.

A la intersecció de l'enginyeria social, la IA i la ciberseguretat es desenvolupa una trilogia complexa que planteja desafiaments i oportunitats a l'era digital actual. Mentre aquestes disciplines convergeixen, sorgeixen noves amenaces, i els deepfakes (de vídeo o d'àudio) són una de les manifestacions més preocupants.

L'enginyeria social és un art ancestral de manipulació que ha arribat a trobar un terreny fèrtil a l'era digital. L'objectiu és aprofitar-se del factor humà, de la seva sensibilitat, de la seva psicologia. Per aconseguir-ho, els ciberdelinqüents utilitzaran tota mena de tècniques i tàctiques per enganyar i obtenir informació confidencial o altres objectius. La persuasió en línia, la manipulació d'opinions, el maneig de tendències i creences, la convicció, el biaix són fills de l'enginyeria social.

Mentre que l'enginyeria social es basa en la comprensió de les emocions i comportaments humans, permetent estratègies de persuasió més efectives (el que es coneix com l'enteniment humà profund), la confiança excessiva i la manca de consciència/conscienciació, poden fer que les persones caiguin en trampes dissenyades per explotar les seves debilitats (el que coneixem com a vulnerabilitats humanes).

La intel·ligència artificial compta amb capacitats avançades d'aprenentatge, replicar patrons i generació de continguts nous inexistents fins ara (intel·ligència artificial generativa). Això ha suposat una nova fita de gran rellevància en la creació de contingut digital. Des de la generació de texts fins a la creació d'imatges i vídeos, la IA generativa ha ampliat exponencialment les possibilitats de manipulació.

Això suposa un gran pas quant a innovació i eficiència ja que la IA permet avenços significatius en diverses indústries i sectors. No obstant això, també permet la manipulació de contingut que es pot utilitzar per crear contingut fals i enganyós.

La informació és poder. Com que aquesta informació és un actiu tan valuós com és, la ciberseguretat s'ha convertit en una línia de defensa crucial. Protegir les dades i la infraestructura digital és essencial per garantir la integritat i la confidencialitat.

En aquest sentit, podem adoptar un model de protecció o defensa activa, utilitzant mesures proactives per identificar i mitigar amenaces abans que es posin a treballar, causant el dany i l'impacte que busquen.

Però l'evolució dels tipus d'amenaces, a mesura que avança la tecnologia, també ho fan que les tàctiques dels ciberdelinqüents avancin amb elles, desafiant constantment les estratègies de defensa.

Els deepfakes, com dèiem, poden ser fruit o producte de la conjunció d'aquestes tres disciplines: enginyeria social, intel·ligència artificial generativa i existència de mesures de ciberseguretat (tecnològiques o no). Des d'aquesta perspectiva, molt lluny de suposar un avantatge competitiu, representen una amenaça significativa. La capacitat de crear contingut fals, ja sigui imitant veus, o recreant imatges, cares, animacions i vídeos de manera tan convincent, planteja riscos per a la confiança en la informació i la veracitat.

D'una banda, el potencial creatiu de la IA generativa en aspectes com ara la formació i l'entreteniment, l'aplicació en activitats documentals, creatives i artístiques, en automatitzacions, etc., té la seva faceta més positiva. Tot i això, la desinformació i la postveritat, són el revers de la moneda, que empra deepfakes de forma maliciosa per crear notícies falses (fake news) i soscava la confiança en la informació.

Aleshores, com podríem detectar un deepfake i protegir-nos-en? Podria fer-se per mera intuïció, coneixement específic, experiència i anàlisi humana, i fins i tot fent servir eines específiques per a això que poden ser el garant de la lluita futura contra aquest tipus d'activitat des del camp de la ciberseguretat:

- Formació, conscienciació i entrenament sobre deepfakes, per educar les persones a reconèixer aquest tipus d'elements i la possibilitat de manipular-los, empoderant-les perquè identifiquin correctament aquest tipus de contingut sospitós i en facin cas omís.

- Verificació de fonts i continguts que, potser com a part del punt anterior, permeti a les persones confirmar o desmentir l'autenticitat de les fonts i els continguts sobre els quals versa el deepfake analitzat, contrastant les fonts i els orígens dels que semblen arribar i fins i tot el propi contingut sospitós amb altres arxius de què tenim certesa que són autèntics i coneguts. Així podríem trobar distincions i discrepàncies.

- Anàlisi facial i de moviments del vídeo deepfake, examinant detingudament la sincronització entre els llavis i la veu (el so), així com la coherència dels moviments facials a l'uníson amb el context, podria ser, encara que complex (i més a mesura que aquesta tecnologia avanci i millori) una manera d'arribar a revelar les possibles inconsistències en aquest vídeo. És una opció en què seria més recomanable comptar amb eines i programari específic per fer aquesta anàlisi.

- De la mateixa manera, en el cas de l'anàlisi d'àudio, el poder comptar amb eines especialitzades per analitzar els patrons de freqüència i entonació de la veu permetria detectar anomalies als enregistraments de so.

- Un altre aspecte important a tenir en compte seria la identificació, anàlisi i verificació de les metadades del fitxer de vídeo, que podria donar pistes sobre la seva autenticitat i origen, encara que aquesta assignació de metadades també podria evolucionar de manera que fossin més creïbles.

- Regulació normativa i legal en plataformes de continguts, que evitin (tant tecnològicament com des del punt de vista legal i de compliment normatiu) la publicació i propagació de deepfakes i contingut enganyós.

- Desenvolupament de tecnologies de detecció de deepfakes que, mitjançant la investigació i el desenvolupament de programari i eines puguin identificar, automàticament i de manera el més efectiva possible, els deepfakes.

- Intel·ligència artificial defensiva que, com a part del punt anterior, permetria emprar tecnologies i algorismes d'aprenentatge per detectar patrons de manipulació en imatges, so i vídeos.

A la lluita contra els deepfakes, l'educació és vital. A més, la investigació per millorar les tàctiques, tècniques i algorismes de detecció i la implementació de tecnologies defensives, seran essencials per mantenir la integritat de la informació, garantint-ne la veracitat, evitant la manipulació i aconseguint aconseguir un elevat nivell de confiança digital.

Has tingut constància de la recepció d'algun deepfake a la teva empresa? A Zerolyx som especialistes i comptem amb serveis professionals d'intel·ligència, ciberintel·ligència i ciberseguretat, amb els quals et pots ajudar: Serveis de Ciberseguretat. Si ho prefereixes, contacta'ns i parlem.