Barracuda full logo

Guía de seguridad de OWASP sobre deepfakes

Temas:
17 dic 2024
|
Nihad Hassan

El lanzamiento público de ChatGPT a finales de 2022 ha introducido cambios radicales en la forma en que las empresas y los individuos utilizan las tecnologías de inteligencia artificial (IA). Los beneficios eran evidentes para las empresas: agilizar numerosos procesos empresariales y reducir costes. Los individuos comenzaron a utilizarlo para acelerar su productividad y para el ocio, por ejemplo, ajustando sus fotos utilizando herramientas de IA para cambiar el color de su cabello o el estilo de su cuerpo.

Como con todo en la vida, la tecnología moderna conlleva riesgos. En el ámbito de la IA, el riesgo más destacado era utilizarla para crear imágenes y contenidos de video fabricados para representar algo que no ha sucedido realmente. Esta práctica también se conoce como la creación de deepfakes.

Para mitigar los riesgos crecientes del aprovechamiento de las tecnologías de IA en diferentes ámbitos empresariales, OWASP introdujo el top 10 para aplicaciones de modelos de lenguaje grande (LLM) en 2023. Esta lista destaca y aborda problemas de seguridad específicos para el despliegue y la gestión de LLMs y aplicaciones de IA generativa. Sin embargo, tras la amplia adopción de las tecnologías de IA y el uso creciente de esta tecnología por actores maliciosos para crear contenido fabricado, OWASP ha emitido una nueva guía específicamente para abordar y mitigar los riesgos de seguridad de deepfakes aplicando principios de seguridad fundamentales. En este artículo, discutiremos los elementos principales de esta guía y cómo las empresas pueden aprovecharla para mejorar sus defensas contra diferentes ataques de deepfake. Sin embargo, antes de comenzar, definamos qué significa deepfake.

Deepfakes y medios sintéticos

Los deepfakes son un tipo de medios sintéticos creados utilizando IA. Esta tecnología emplea algoritmos de aprendizaje automático (ML) para generar contenido realista y similar al humano, como imágenes, videos, audio y texto.

Hay diferentes tipos de medios sintéticos:

  • Videos deepfake: Estos son videos manipulados que alteran imágenes de video, por ejemplo, reemplazando un rostro humano con el rostro de otra persona, para crear un video falso convincente.
  • Imágenes generadas mediante IA: Las herramientas de IA pueden generar imágenes a partir de indicaciones de texto del usuario o modificar las existentes.
  • Texto sintético: Estos sistemas generan contenido de texto, como artículos, entradas de blog, poesía, libros electrónicos, guías de usuario o cualquier contenido de texto, basado en grandes conjuntos de datos en los que se entrenaron. ChatGPT y Claude son ejemplos de IA generativa de texto.
  • Discurso sintético: Este tipo de medios utiliza IA y aprendizaje profundo para generar sonido que se asemeja al habla humana.
  • Asistentes virtuales: Estos programas entienden y responden al lenguaje humano. Aprovechan algoritmos de PLN y ML para comprender y responder de manera natural a comandos de voz o texto humanos.  

Ahora que tenemos una comprensión justa de los medios sintéticos y sus tipos, hablemos sobre la reciente guía de OWASP para mitigar ataques basados en deepfake.

Gestión de incidentes de deepfake

La guía OWASP presenta un marco integral para abordar y responder a los desafíos de seguridad relacionados con deepfake en diversos contextos organizativos. Aunque la fase preparatoria sigue siendo consistente, las etapas posteriores de detección, contención y respuesta se adaptan a tipos específicos de incidentes de deepfake.

PREPARACIÓN

Las organizaciones deben evaluar su vulnerabilidad a las amenazas de deepfake mediante varios vectores de ataque, tales como:

  1. Manipulación de identidad digital: Aprovechamiento de tecnologías de voz, vídeo o imagen generadas por IA para eludir los protocolos de seguridad. Por ejemplo, los intrusos pueden usar deepfakes para hacerse pasar por un usuario específico y obtener acceso ilegal a recursos sensibles.
  2. Suplantación de ejecutivos: Ejecutar esquemas fraudulentos imitando a ejecutivos de alto nivel, como el director financiero, para autorizar transacciones financieras no autorizadas. Se pueden utilizar deepfakes para imitar el discurso del objetivo o incluso fabricar una videollamada.
  3. Compromiso de la reputación de la marca: Crear medios sintéticos que representen a un empleado de alto nivel, como el CEO, haciendo declaraciones controvertidas que podrían dañar la reputación de la empresa.
  4. Infiltración de reclutamiento: Los actores de amenazas utilizan tecnologías avanzadas de deepfake e información personal robada para manipular los procesos de contratación en línea, como imitar a otras personas durante una entrevista de trabajo en línea. El objetivo es convencer al representante de recursos humanos para que los contrate y así obtener acceso autorizado a los recursos protegidos de la empresa.
  5. Desinformación estratégica: Generación y difusión de contenido multimedia fabricado (videos, artículos de noticias e imágenes) diseñado para influir en la dinámica del mercado sobre una empresa en particular. Esta táctica comúnmente tiene como objetivo a partes interesadas clave, como inversores, socios o clientes, para socavar la confianza y perturbar relaciones comerciales clave. El objetivo final es dañar la reputación y posición de mercado de la empresa objetivo.

Evaluación de defensas

La guía sugiere que las organizaciones deben realizar una evaluación de seguridad que revise sus políticas de seguridad, procedimientos y métodos de auditoría para las siguientes cuatro áreas:

  1. Divulgación de datos sensibles
  2. Mesa de ayuda
  3. Transacciones financieras
  4. Respuesta al evento

Prácticas recomendadas de autenticación basada en humanos

Cuando una organización implementa autenticación basada en humanos, se deben aplicar al menos dos de las siguientes mejores prácticas:

  • Mantenga un directorio de métodos de comunicación aprobados, como una dirección de correo electrónico alternativa o un número de teléfono, para autenticar aún más a una persona específica.
  • Requerir verificación alternativa de comunicación, como llamar a la persona o enviar un correo electrónico separado para verificar la solicitud.
  • Utilice el método "código del día". Las instituciones financieras suelen utilizar esta práctica para generar un código único diario que puede utilizarse junto con otra identificación verbal para ejecutar tareas importantes.
  • Utilice preguntas de seguridad para verificar la identidad además de los factores de autenticación existentes. Evite preguntas fáciles de investigar, como el segundo nombre de la madre.
  • Pida al gerente o supervisor del solicitante que verifique la solicitud.

Transacciones financieras

Cuando se trata de transacciones financieras, la guía de OWASP sugiere las siguientes mejores prácticas:

  • Establezca políticas claras sobre cómo ejecutar transacciones financieras dentro de su organización.
  • Implemente el concepto de separación de funciones. Esto significa que ningún individuo puede tener control total sobre la ejecución de una transacción.
  • Solicitar autorización de dos empleados para ejecutar cada transacción. Para transacciones con un monto alto, solicitar aprobación de más de dos empleados.
  • Utilice el método "código del día" para verificar a los individuos que realizan transacciones financieras.
  • Utilice la autenticación multifactor (MFA) para asegurar las transacciones financieras.
  • Utiliza dos métodos de comunicación para aprobar una transacción financiera, por ejemplo, por correo electrónico y teléfono.
  • Auditar regularmente los procedimientos de transacciones financieras y garantizar el cumplimiento de los procedimientos aplicados.

Mesa de ayuda

La guía de OWASP sugiere las siguientes mejores prácticas para mitigar ataques de deepfake para los empleados que trabajan en el departamento de atención al cliente:

  • Revise los procedimientos de restablecimiento de contraseña y asegúrese de que MFA esté en su lugar para las cuentas de todos los empleados.
  • Prueba todos los procesos de trabajo relacionados con el servicio de asistencia y identifica las brechas que podrían ser vulnerables a ataques de deepfake.
  • Documentar todos los procesos que no requieren MFA y garantizar que la autenticación basada en humanos cumpla con las mejores prácticas de seguridad.

Contratación

En el área de contratación, OWASP sugiere las siguientes mejores prácticas:

  • Establecer un proceso para informar sobre candidatos sospechosos (que se sospecha que utilizan identidades generadas mediante tecnología de IA) al departamento correspondiente.
  • Utilice soluciones automatizadas para detectar documentos falsificados, como pasaportes e identificaciones falsos, e informe a los candidatos que verificará sus identificaciones para ver si se han generado utilizando tecnología deepfake.
  • Incluya una nota en todas las ofertas de trabajo indicando que no se permitirán métodos de manipulación de audio o video durante el proceso de entrevista.
  • Audite todas las prácticas de contratación y asegúrese de que todos los empleados del departamento de RRHH sigan las mejores prácticas para verificaciones de antecedentes, referencias, revisión de currículums y entrevistas a candidatos.

Divulgación de datos sensibles

Cuando se maneje datos sensibles, como los datos personales de los clientes, la guía de OWASP sugiere las siguientes mejores prácticas:

  • Revisar las políticas y procedimientos actuales para la divulgación de datos sensibles en todos los departamentos e entrevistar a empleados de estos departamentos para reconocer los flujos de trabajo actualmente implementados, que podrían diferir del documentado.
  • Identificar las lagunas en los procedimientos actuales.
  • Identificar qué procesos pueden ejecutarse sin MFA.
  • Asegúrese de que los métodos de autenticación basados en humanos sigan las mejores prácticas de seguridad.

Monitoreo de marca

Para el monitoreo de marca, se recomiendan las siguientes mejores prácticas:

  • Revise las herramientas y servicios actuales de monitoreo de marcas y asegúrese de que puedan reconocer contenido deepfake.
  • Asegúrate de que todos los empleados de los diferentes departamentos conozcan los tipos de contenidos deepfake y cómo informar de dicho contenido al departamento correspondiente.

Respuesta al evento

En el área de respuesta al evento, asegúrese de lo siguiente:

  • Tiene un proceso establecido para reportar contenido deepfake.
  • Su actual acuerdo de nivel de servicio (SLA) con empresas de informática forense incluye una sección para tratar incidentes de deepfake.
  • Tiene un proceso establecido para eliminar contenido deepfake, como infracciones de derechos de autor, dominios similares y otro contenido fabricado.

Plan de respuesta ante incidentes de deepfake

La guía de OWASP sugiere un plan general de respuesta a incidentes para identificar y responder al contenido deepfake. Propone los siguientes pasos generales:

  • Crear una estructura de gobernanza para responder a incidentes de deepfake.
  • Identificar los procedimientos de escalada al identificar deepfakes.
  • Identifique cómo eliminar contenido de deepfake y establezca las acciones legales para perseguir oficialmente estos casos.
  • Para cada tipo de incidente de deepfake, identifique el plan de comunicación de crisis relevante en todos los escenarios de deepfake, que son:
    1. Ganancia financiera mediante fraude por suplantación
    2. Suplantación para ciberataques
    3. Fraude en entrevistas de trabajo
    4. Mis/Dis/Malinformación
  • Categorizar el incidente de deepfake, si pertenece a una gran campaña o solo a un incidente aislado. La guía de OWASP sugiere que los planes de respuesta a incidentes deben tener en cuenta las siguientes implicaciones:
    1. Daño reputacional
    2. Presión de extorsión tras un evento de ransomware o exfiltración de datos
    3. Activismo hacktivista / activismo corporativo
    4. Fraude financiero
    5. Divulgación de información sensible
    6. Espionaje industrial
    7. Infracciones de ordenadores o redes
    8. Engañando a las partes interesadas
    9. Manipulación del precio de las acciones
  • Determine si su organización tiene la tecnología necesaria para identificar deepfakes; si no es así, solicite a su proveedor de informática forense que proporcione esta capacidad.
  • Definir cuándo solicitar ayuda de las fuerzas del orden.
  • Asegúrese de que el plan de respuesta a incidentes se audite regularmente y se actualice continuamente.

Formación en concienciación

Asegúrese de que todos los empleados tengan una formación adecuada sobre cómo identificar contenido deepfake. La guía de OWASP propone que la formación de concienciación para empleados debería, como mínimo, cubrir los siguientes puntos:

  • Qué son los deepfakes
  • Qué hacer si crees que un deepfake te está atacando
  • Qué hacer si eres objeto de un deepfake
  • Dónde denunciar deepfakes

OWASP proporciona orientación completa para mitigar los riesgos de deepfake. Las organizaciones deben prepararse evaluando sus vulnerabilidades actuales, implementando MFA, estableciendo procesos de verificación robustos y creando planes de respuesta ante incidentes para manejar tales incidentes. La formación de concienciación de los empleados es fundamental para reconocer e informar sobre amenazas de medios sintéticos que podrían comprometer la identidad digital, la seguridad financiera y la reputación de la marca.

Nihad Hassan

Nihad Hassan es un autor técnico experimentado que ha publicado seis libros en el campo de la ciberseguridad. Sus áreas de especialización incluyen una amplia gama de temas relacionados con la ciberseguridad, como OSINT, inteligencia de amenazas, forense digital, ocultación de datos, privacidad digital, seguridad de redes, ingeniería social, ransomware, pruebas de penetración, seguridad de la información, cumplimiento y seguridad de datos.

Publicaciones relacionadas:
First signs of AI-enabled ransomware attacks emerge
First signs of AI-enabled ransomware attacks emerge
 Explorando la adopción de la IA: De la curiosidad a la claridad
Explorando la adopción de la IA: De la curiosidad a la claridad
 PoisonGPT: Arma de IA para la desinformación
PoisonGPT: Arma de IA para la desinformación
 DarkBard: El “Gemelo Malvado” de Google Bard
DarkBard: El “Gemelo Malvado” de Google Bard
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.