No es la primera vez, según nos explica el hacker Chema Alonso (experto en ciberseguridad y miembro del comité ejecutivo de Telefónica) en su blog personal, que se clona la voz de un ejecutivo para perpetrar un robo, una acción espectacular porque no estamos acostumbrados todavía al uso de tecnologías tan sofisticadas en actividades delictivas, aunque la industria de Hollywood debería tomar nota para incluir esto en uno de sus filmes.
El mérito tecnológico de la estafa (que, por cierto, quien la perpetrara se llevó 400.000 € de botín) es que la clonación de la voz del CEO de la empresa se realizó a tiempo real, además de combinarla con dos ataques más: sustitución de la identidad vía correo electrónico, e ingeniería social.
Junto a las llamadas, el o los estafadores también enviaron mensajes de correo electrónico al director de la sucursal bancaria para instarle a realizar dos transferencias bancarias que sumaron el montante total sustraído de 400.000 € antes citados.
Para añadir presión al director de la sucursal, el argumento utilizado por el o los estafadores fue el de un negocio de un montante total de 35 millones de euros, que se podía perder si no se actuaba rápidamente realizando dichas transferencias. Bajo la presión del tic tac del reloj y las pruebas concluyentes vía correo electrónico y teléfono, acabó cediendo.
La IA, una aliada de los estafadores
Como cita el mismo Alonso en la pieza de su blog en la que explica el caso y que he referenciado al principio de este artículo, ya se conocía un caso anterior en el que, con la ayuda de la inteligencia artificial, el o los estafadores se llevaron un botín de 220.000 €, del cual precisamente hablé en su momento en esta misma publicación.
La IA ha madurado mucho en los últimos años, y actualmente permite cosas como la realización de deep fakes, lo que en un futuro próximo permitirá también a los delincuentes falsificar la imagen de los ejecutivos de empresas a las que quieren atacar y robar.
Ante este panorama no ya de futuro, si no de presente, las entidades bancarias deben reconsiderar sus procedimientos de seguridad, un llamamiento que Alonso realiza en su blog, ya que en casos de grandes empresas, las entidades bancarias admiten la realización de operaciones con una verificación vía telefónica.