Los usos criminales de los ‘deepfakes’ se disparan: estafas, pornografía y suplantación de identidad

La inteligencia artificial (IA) es una de las tecnologías que promete revolucionar la forma en que todas las personas se relacionan con el mundo. También los delincuentes. Tanto las compañías de ciberseguridad como las instituciones del sector tecnológico advierten de que los usos ilegales de las herramientas de deepfake (aquellas basadas en IA que permiten tomar imágenes o grabaciones de una persona y transformarlas en vídeos o audios falsos) están creciendo de forma alarmante. En concreto, los datos de la ONG Cyberpeace Institute revelan que la pornografía que aplica esta tecnología “se duplica cada seis meses en las plataformas de streaming más populares”, mientras que los casos de fraude se multiplicaron por diez entre 2022 y 2023 en diversas industrias. Asimismo, se están implementando estas técnicas para cometer otros delitos como la suplantación de identidad o el fraude documental.

“Lo que conocemos como deepfake comenzó como un proyecto de código abierto para crear contenido sexual ilegal. Por lo tanto, no es de sorprender que un asombroso 96% de estos videos estén relacionados con pornografía no consentida. Este mal uso incluye pornovenganza, extorsión, humillación e incluso explotación infantil en línea. Los rostros de las víctimas se superponen al contenido explícito sin su consentimiento, convirtiendo a los deepfakes en una herramienta devastadora para ataques personales y explotación”, explica Stéphane Duguin, CEO de la Cyberpeace Institute, organización no gubernamental especializada en ciberamenazas y financiada por empresas como Microsoft y Mastercard, a EL PAÍS.

En el caso de las estafas, un informe reciente de Unit 42, la división de investigación de la firma de ciberseguridad Palo Alto Networks, revela que ya existen bandas organizadas dedicadas a elaboración de campañas de deepfakes. Estos grupos utilizan sin permiso la imagen de celebridades para difundir esquemas de inversión falsos o incluso se hacen pasar por ejecutivos para extraer dinero de sus víctimas.

Un ejemplo reciente es el de la plataforma fraudulenta Quantum AI, que utilizó la imagen de personalidades como el magnate Elon Musk, la presidenta italiana, Georgia Meloni o el expresidente mexicano, Andrés Manuel López Obrador para crear vídeos falsos que atrajeran a los usuarios. “En la mayoría de los casos, los atacantes parecen haber comenzado con un video legítimo y haber agregado su propio audio generado por IA. Finalmente, utilizaron tecnología de sincronización de labios para modificar el movimiento de los labios del hablante para que coincida con el audio generado por IA”, explican los autores del informe.

En esta estafa en particular, a las víctimas se les solicita que se registren con su nombre y número de teléfono, y se les indica que esperen una llamada de un gerente de cuenta o un representante. Después, los ciberdelincuentes llaman por teléfono a la víctima, solicitando un pago de alrededor de 250 dólares (unos 223 euros) para acceder a la plataforma. A continuación, se le pide a la víctima que descargue una aplicación especial para que pueda “invertir” más de sus fondos. Dentro de esa aplicación aparece un panel que muestra pequeñas ganancias.

“A partir de ahí, los estafadores continúan persuadiendo a la víctima para que deposite más dinero e incluso pueden permitirle retirar una pequeña cantidad de dinero como una forma de ganarse su confianza. Finalmente, cuando la víctima intenta retirar sus fondos, los estafadores exigen tarifas de retiro o citan alguna otra razón, por ejemplo, problemas fiscales, para no poder recuperar sus fondos. Los estafadores pueden entonces bloquear a la víctima de su cuenta y embolsarse los fondos restantes, lo que hace que la víctima haya perdido la mayor parte del dinero que invirtió”, indican los analistas de Unit 42.

Regulación

Los gobiernos alrededor del mundo ya están intentando regular esta tecnología, aunque en la mayoría de lugares la legislación es muy reciente. Un ejemplo de es la Ley de Inteligencia Artificial de la Unión Europea (aprobada en 2023), que representa la primera regulación importante centrada en la inteligencia artificial e incluye disposiciones que abordan específicamente los deepfakes. “Esta legislación tiene como objetivo imponer controles más estrictos sobre las tecnologías de IA, garantizando la transparencia y la rendición de cuentas en su uso, incluida la identificación de contenido manipulado”, explican en Cyberpeace Institute.

No obstante, los expertos en ciberseguridad coinciden en que todavía hay mucho camino por delante en cuanto a regulación. “El reglamento va a necesitar codificarse y garantizar que todos los Estados miembros los pueden aplicar. El uso de inteligencia artificial generativa para estafas, por ejemplo, es un ángulo que todavía se debe desarrollar. Ahora mismo no puede cubrir todos los ámbitos de actuación porque no sabemos todos los usos que podrá haber”, señala Raquel Jorge, investigadora del Real instituto Elcano a EL PAÍS.

Los expertos consultados coinciden en que estas herramientas a menudo son utilizadas para reinventar antiguas formas de estafa que se aprovechan del factor humano. “Los ataques contra individuos son el área en la que este tipo de campañas van a seguir creciendo exponencialmente, por ejemplo en las estafas en que el delincuente pretende ser un familiar. La mayoría de personas no está al tanto de lo sencillo que es utilizar estas herramientas para replicar la voz de una persona. Pueden utilizar una grabación de una llamada para clonar la voz de alguien y contactar a uno de sus seres queridos, o incluso tomarlas desde sus redes sociales. Son las mismas estafas que se hacían antes, pero en una versión actualizada”, explica a EL PAÍS Kyle Wilhoit, director de investigación de amenazas en Unit 42.

Los expertos de Cyberpeace coinciden con este diagnóstico, y añaden que este tipo de modalidades también afectan a las empresas. “El fraude es otra preocupación creciente, ya que la tecnología deepfake se utiliza en estafas telefónicas dirigidas a bancos y empresas. Los cibercriminales clonan las voces de empleados o ejecutivos, manipulando tácticas de ingeniería social para autorizar facturas falsas u otras transacciones financieras”, asegura Duguin.

Ecosistema criminal

Entre las principales razones que ha impulsado el uso de esta herramienta por parte de los criminales se encuentra la aparición de distintas plataformas que ofrecen servicios de deepfakes. “Nuestros investigadores han encontrado cibercriminales que venden, discuten e intercambian herramientas y servicios de creación de deepfakes en foros, canales de chat en redes sociales y plataformas de mensajería instantánea. Estas herramientas y servicios ofrecen capacidades para generar contenido engañoso y malicioso, incluidos audio, video e imágenes”, explican en Palo Alto Networks.

En Cyberpeace institute destacan que han aparecido mercados especializados en los que individuos o grupos pueden publicar solicitudes de contenido personalizado. “Esto tiene el potencial de crear un nuevo mercado laboral para delincuentes expertos, algunos de los cuales están dispuestos a pagar hasta 16.000 dólares [unos 14.300 euros al cambio] por un deepfake de alta calidad. Si bien el grupo de delincuentes capaces de producir este tipo de material es actualmente limitado debido a la experiencia técnica requerida, la demanda está claramente presente, sentando las bases para que este nicho se expanda”.

Los expertos también advierten que una área en crecimiento es el fraude documental, ya que los delincuentes utilizan cada vez más la tecnología deepfake para manipular documentos de identidad al transformar las caras de los titulares de pasaportes legítimos con las de aquellos que intentan obtener documentos falsos. “Esto les permite eludir los sistemas de reconocimiento facial, lo que amplifica el riesgo de fraude documental avanzado para los grupos del crimen organizado involucrados en actividades como el tráfico de personas o la inmigración ilegal”, afirma Duguin.

“Un ejemplo es el de los delincuentes tailandeses, que han utilizado deepfakes para hacerse pasar por agentes de policía y directores financieros, manipulando a las víctimas en estafas o fraudes financieros. Estos incidentes sugieren que las bandas criminales están explorando el potencial de los deepfakes, en particular para la suplantación de identidad en ataques de ingeniería social. Aunque todavía no hay un perfil claro de estas organizaciones, el uso de estas herramientas por parte del crimen organizado apunta a una creciente complejidad, en la que las redes criminales tradicionales están integrando cada vez más tecnologías avanzadas para llevar a cabo sus operaciones”, advierte el experto del Cyberpeace Institute.

De forma similar, otra tendencia más reciente es la proliferación de “empleados deepfake”, una modalidad que utiliza información de identificación personal robada para hacerse pasar por candidatos legítimos y postular a puestos remotos o de teletrabajo. “Esta técnica crea una puerta trasera para que los cibercriminales se infiltren en las empresas haciéndose pasar por nuevos empleados, lo que les da acceso a sistemas y datos corporativos confidenciales. Estos avances apuntan a un panorama en evolución en el que esta tecnología no solo es una herramienta para el fraude, sino también la base de nuevos roles delictivos, lo que permite operaciones más sofisticadas y engañosas en diversas actividades ilícitas”, comenta Duguin.

En esta línea, otro de los temas que más alarma a los expertos es que estas herramientas están logrando vulnerar también a la tecnología biométrica que se utiliza para verificación de identidad en sistemas de seguridad y aplicaciones. Duguin adiverte: “Una de las principales preocupaciones es el reconocimiento facial. Esta tecnología, en particular el intercambio de rostros o la transformación, presenta un riesgo significativo para estos sistemas, que dependen del análisis de los rasgos faciales para la autenticación”.

Así, los deepfakes pueden generar videos dinámicos muy realistas, capaces de engañar a un software de reconocimiento facial avanzado y de eludir el control de verificación de, por ejemplo, el teléfono. “La biometría de voz también es vulnerable a la voz deepfake. A medida que la generación de voz deepfake se vuelve más sofisticada, existe un mayor riesgo de que actores maliciosos puedan clonar la voz de alguien para obtener acceso no autorizado a sistemas que dependen de la verificación de voz”, añade.

Tendencias es un nuevo proyecto de EL PAÍS, con el que el diario aspira a abrir una conversación permanente sobre los grandes retos de futuro que afronta nuestra sociedad. La iniciativa está patrocinada por Abertis, Enagás, EY, Iberdrola, Iberia, OEI, Redeia, Santander, Telefónica y el partner estratégico Oliver Wyman.

Puedes apuntarte aquí para recibir la newsletter semanal de EL PAÍS Tendencias, todos los martes, de la mano del periodista Javier Sampedro.