En una era donde la tecnología avanza a pasos agigantados, emergen nuevas formas de engaño que desafían nuestras percepciones y ponen a prueba nuestra seguridad. Entre estas, el vishing y el spoofing telefónico, combinados con el alarmante avance de los deepfakes de audio, constituyen una amenaza cada vez más sofisticada y difícil de detectar. Estas tácticas, que mezclan la vieja escuela del engaño telefónico con la vanguardia de la inteligencia artificial, han abierto un nuevo campo de batalla en la lucha contra el fraude y la desinformación.
En el corazón de estas estrategias de engaño se encuentra un elemento común: la explotación de nuestra confianza en lo que oímos y creemos conocer. La familiaridad de una voz al otro lado del teléfono, un nombre confiable en la pantalla de identificación de llamadas, estas son señales en las que nos hemos entrenado para confiar. Pero ¿qué sucede cuando estas señales pueden ser falsificadas con una precisión desconcertante?
El vishing y el spoofing telefónico no son fenómenos nuevos, pero su integración con tecnologías emergentes como los deepfakes de audio ha elevado el riesgo a un nivel sin precedentes. Las voces falsificadas ya no son meras imitaciones; ahora pueden replicar con una exactitud asombrosa la entonación, el acento y las sutilezas de una voz real, haciendo casi imposible distinguir la verdad de la falsificación.
En este artículo exploramos el mundo oscuro del vishing y el spoofing telefónico, cómo los deepfakes de audio están cambiando las reglas del juego y, lo más importante, cómo podemos protegernos de estos engaños cada vez más sofisticados. Desde identificar señales de advertencia hasta adoptar prácticas de seguridad avanzadas, enumeramos a continuación algunas herramientas necesarias para defenderse en este nuevo panorama de amenazas digitales.
Índice de temas
Antes de los deepfakes de audio, el vishing y el spoofing telefónico
El vishing, una contracción de ‘voice phishing’, es una técnica de estafa donde los delincuentes usan llamadas telefónicas para engañar a las víctimas y obtener información confidencial. Similar al phishing que ocurre por correo electrónico, el vishing aprovecha la voz como medio para manipular y persuadir. En el spoofing telefónico, los estafadores falsifican la identificación de llamadas para hacer aparecer sus números como si pertenecieran a entidades legítimas, como bancos, compañías de seguros o servicios gubernamentales. Este engaño se basa en la confianza que las personas tienen en estas instituciones.
Un ejemplo notorio de esta tecnología ocurrió en 2019, cuando delincuentes utilizaron un deepfake de voz para imitar al CEO de una empresa de energía con sede en el Reino Unido
Los estafadores emplean diversas tecnologías para llevar a cabo el vishing. Una de las más comunes es la manipulación del identificador de llamadas, donde el número de teléfono de la entidad que se pretende suplantar se muestra en el teléfono del receptor. Esto se logra mediante el uso de sistemas de VoIP (Voz sobre Protocolo de Internet), que permiten la transmisión de llamadas a través de Internet en lugar de las líneas telefónicas tradicionales. Estos sistemas facilitan a los estafadores disfrazar sus verdaderas identidades y ubicaciones.
Un escenario típico de vishing podría ser el siguiente: recibes una llamada de tu ‘banco’, según el id de llamada. La voz al otro lado afirma que hay un problema con tu cuenta y que necesitan verificar tu información personal para resolverlo. Bajo la presión de resolver un supuesto problema urgente, muchas personas pueden revelar sin darse cuenta detalles sensibles como números de cuenta, contraseñas o información de tarjetas de crédito.
La falsa seguridad de las contraseñas
En el mundo del vishing, los estafadores a menudo buscan formas ingeniosas de obtener información sensible sin levantar sospechas. Una táctica particularmente astuta implica el uso de contraseñas, o más precisamente, la forma en que las víctimas las ingresan durante una llamada telefónica fraudulenta.
Cómo funciona la estafa de contraseñas en el vishing
En un escenario común de vishing, el estafador, haciéndose pasar por un representante de una entidad confiable, podría informar a la víctima sobre un problema de seguridad en su cuenta. Para ‘verificar’ la identidad del usuario y ‘solucionar’ el problema, piden a la víctima que ingrese su contraseña utilizando el teclado del teléfono. A primera vista, esto parece una medida de seguridad, ya que se evita verbalizar la contraseña. Sin embargo, aquí es donde reside el engaño.
Los tonos producidos por las teclas del teléfono (conocidos como tonos DTMF, por sus siglas en inglés) pueden ser fácilmente decodificados. Con el software adecuado, un estafador puede registrar estos tonos y convertirlos nuevamente en los números o letras correspondientes de la contraseña. Esta táctica no solo engaña a la víctima para que revele su contraseña, sino que también le da una falsa sensación de seguridad, creyendo que está tomando una medida de precaución al no decirla en voz alta.
La IA y el peligro de los deepfakes de audio
En la era de la inteligencia artificial, los deepfakes de audio han emergido como una nueva y sofisticada herramienta en el arsenal de los estafadores. Estos deepfakes, que utilizan tecnologías avanzadas de IA para replicar o falsificar voces humanas, representan un peligro significativo para la seguridad y la privacidad.
Los deepfakes de audio son creaciones generadas por IA que imitan con precisión la voz de una persona. Utilizando técnicas de deep learning, estas herramientas de IA analizan muestras de audio de una voz objetivo y luego generan nuevas grabaciones de audio que suenan casi idénticas. Esta capacidad de replicar voces tiene aplicaciones legítimas en campos como el entretenimiento y la asistencia virtual. Sin embargo, en manos equivocadas, puede ser utilizada para engaños y fraudes.
Un ejemplo notorio de esta tecnología ocurrió en 2019, cuando delincuentes utilizaron un deepfake de voz para imitar al CEO de una empresa de energía con sede en el Reino Unido. Convencieron al director de la empresa a realizar una transferencia urgente de 220.000 euros a una cuenta fraudulenta. La víctima creyó que estaba hablando con su superior debido a la ‘autenticidad’ de la voz.
Otro caso destacado sucedió en 2020, cuando una empresa japonesa fue engañada para transferir una suma significativa de dinero a estafadores que utilizaban un deepfake de audio. Estos incidentes ilustran no solo la sofisticación de la tecnología, sino también su potencial para causar daños financieros graves.
La popularización de herramientas de deepfake de audio, especialmente aquellas capaces de clonar una voz con solo unos segundos de muestra, representa una amenaza creciente para la privacidad y la ciberseguridad. Estas herramientas utilizan algoritmos avanzados de aprendizaje automático para analizar las características de una voz y luego reproducirla con una precisión asombrosa. Hace solo unos meses, la creación de deepfakes de audio requería extensas grabaciones de voz y habilidades técnicas especializadas, pero la barrera para entrar en este campo se ha reducido significativamente.
¿Cómo protegerse del vishing?
Desconfianza ante solicitudes de información personal: Si recibes una llamada solicitando datos sensibles, mantén una actitud de desconfianza. Recuerda que las instituciones legítimas rara vez piden información confidencial por teléfono.
Verificación de autenticidad: Ante cualquier duda, cuelga y contacta directamente a la institución a través de un canal oficial. Nunca proporciones información personal o financiera sin confirmar la legitimidad de la llamada.
Resistencia a la presión: No te dejes influenciar por la urgencia que los estafadores intentan imponer. Tómate el tiempo necesario para pensar y actuar con calma.
Reporte de llamadas sospechosas: Informa a las autoridades sobre cualquier intento de vishing, contribuyendo así a la prevención de futuras estafas. También puedes llamar gratuitamente al 017, línea abierta de INCIBE (Instituto Nacional de Ciberseguridad).
Escepticismo y proactividad: Adopta una postura proactiva y escéptica ante llamadas inesperadas, lo que puede reducir significativamente el riesgo de ser víctima de estafas.
No ingresar contraseñas en llamadas: Evita ingresar contraseñas o códigos pin durante llamadas telefónicas; es una práctica insegura y potencialmente peligrosa.
Educación y concienciación: Mantente informado sobre las tácticas de estafa y comparte este conocimiento con tu entorno. La educación es una herramienta poderosa contra el fraude.
Uso de autenticación de múltiples factores: Refuerza la seguridad de tus cuentas activando la autenticación de múltiples factores, lo que añade una capa adicional de protección.
Escepticismo ante deepfakes de audio: Cuestiona siempre la autenticidad de las voces en llamadas sospechosas, especialmente cuando se solicitan acciones o información delicada.
Verificación cruzada y tecnología de detección: En caso de dudas, verifica la información por canales independientes y mantén actualizados tus sistemas de seguridad para detectar posibles manipulaciones de audio o vídeo.
Estas nuevas técnicas representan desafíos significativos en nuestro mundo digitalmente interconectado. A medida que la tecnología avanza, también lo hacen las tácticas de aquellos que buscan explotarla para fines fraudulentos. Sin embargo, con la conciencia adecuada, precaución y las herramientas de seguridad correctas, podemos fortalecer nuestras defensas contra estas sofisticadas estafas. Al estar informados y vigilantes, no solo protegemos nuestra información personal y financiera, sino que también contribuimos a la creación de un entorno digital más seguro para todos.
René Descartes basó su Discurso del Método en la duda metódica, es decir: la duda como herramienta sobre la que edificar el conocimiento. En la Era de la Información, adoptemos la duda metódica como nuestra aliada y mejor salvaguarda.
Llamadas que nos deberían hacer saltar la alerta:
- “Hola, soy José, y llamo de su banco. Tenemos un problema con su cuenta y necesitamos verificar algunos detalles para resolverlo”.
- “Usted ha ganado un premio en efectivo y solo necesita proporcionarnos algunos datos personales para reclamarlo”.
- “Estoy llamando de la compañía de servicios públicos y su cuenta está en riesgo de ser desconectada. Necesito su pago inmediato para evitar esto”.
- “Somos de soporte técnico de su empresa de informática y hemos detectado un virus en su computadora. Necesitamos acceso remoto para solucionarlo”.
- “Su número de Seguro Social ha sido comprometido y necesita verificar su identidad con nosotros para evitar problemas legales”.
- “Tiene una deuda pendiente que debe pagarse de inmediato. Puede hacerlo por teléfono proporcionándonos sus detalles de tarjeta de crédito”.
- “Lamentablemente, su pariente ha tenido un accidente y necesita ayuda financiera urgente. Envíenos dinero a esta cuenta para su rescate”.