DEEPFAKES Y CIBERSEGURIDAD. UNA REFLEXIÓN A RAÍZ DEL ANUNCIO DE LOLA FLORES

RESUMEN:

Deepfakes y ciberseguridad. Los grandes avances en inteligencia artificial junto con la enorme cantidad de archivos multimedia disponibles en internet han fomentado la aparición de videos, audios y fotografías donde políticos, actrices e incluso personas fallecidas dicen o hacen cosas totalmente inesperadas. Estas fotografías, videos y audios falsos son sorprendentemente realistas y capaces de llevar a engaño incluso a personas expertas. En este artículo se definirán los deepfakes, el daño que causan, sus implicaciones en materia de ciberseguridad y cómo podemos detectarlos y prevenirlos.

PALABRAS CLAVE: Deepfakes y ciberseguridad, ingeniería social, fraude del CEO.

¿Qué son los deepfakes?

El concepto deepfake proviene de la combinación entre los términos Deep Learning que es un tipo de aprendizaje automático empleando inteligencia artificial y fake (falso). Consiste básicamente en utilizar el aprendizaje profundo o Deep Learning para producir contenido multimedia, generalmente fotografía video o audio, manipulado o directamente falso.  Explicado de forma sencilla el Deep Learning emplea redes neuronales artificiales que son capaces de aprender sin supervisión humana. Para la creación de deepfakes se proporciona una gran cantidad de datos generalmente videos, audios o fotografía del sujeto al que se pretende suplantar para que el algoritmo, sin instrucciones o pautas previas sea capaz de replicar los rasgos faciales, tono de voz y los patrones de movimiento facial.

Videos, audios e imágenes falsas ¿En qué ámbitos resultan perjudiciales?

Los deepfakes pueden ser un quebradero de cabeza para las víctimas y causar un gran daño a varios niveles. Los resultados nocivos de un deepfake pueden ser tangibles e intangibles. Un ejemplo de un daño tangible podría ser el perjuicio económico específico que puede causar un video falso. Un daño intangible sería cuando un deepfake afecta a la confianza de los ciudadanos en los medios de comunicación o en sus líderes políticos. En ocasiones, cuando el perjuicio es causado a nivel particular se puede cuantificar, mientras que cuando el daño causado afecta a una generalidad de personas resulta más complicado evaluar los daños.

  El daño causado por los deepfakes puede afectar a la credibilidad e imagen pública de personas, organizaciones o instituciones, reducir la confianza de la ciudadanía, tener repercusiones económicas y empresariales e incluso menoscabar los derechos de los ciudadanos.

• Desinformación y polarización. Cuando hace unos años se popularizó el término fake news, los ciudadanos empezamos a ser conscientes de que no nos podemos creer todo lo que leemos. La aparición de videos o audios falsos de personas públicas haciendo afirmaciones incoherentes o actuando de manera inapropiada en internet contribuye a que nos tengamos que replantear también si podemos fiarnos de todo lo que vemos y oímos en la red.
• Daño a la credibilidad e imagen pública. Actualmente los deepfakes que más se han popularizado suelen guardar relación con figuras políticas o del mundo de la farándula. Los videos falsos de figuras políticas suelen tener el objetivo de desprestigiarles haciéndoles aparecer ebrios, haciendo afirmaciones que jamás harían o actuando de forma inapropiada. También son comunes los deepfakes de mujeres famosas en videos de contenido sexual manipulados con el grave daño que ello conlleva para las víctimas.
• Daños económicos y empresariales. Los daños económicos de un deepfake son difíciles de cuantificar especialmente si afectan a la credibilidad o imagen pública de una persona. No obstante, ese perjuicio económico puede existir. Supongamos que un deepfake sexual de una actriz afecta a su carrera profesional debido a que el número de ofertas de trabajo que recibe se reducen. En ese caso existiría un daño económico importante y debe tenerse en cuenta. En el ámbito empresarial, aunque aún no está muy extendido se han dado casos de uso de deepfakes para cometer el llamado fraude del CEO. Por tanto, resulta previsible que cuando esta tecnología se popularice este tipo de acciones criminales basadas en deepfakes se convierta en una gran amenaza para la seguridad de las empresas y organizaciones.
• Vulneración de  derechos de los ciudadanos.  En España el hecho de que se utilicen sin su consentimiento los datos de una persona para crear deepfakes contraviene el derecho al honor, intimidad personal y a la propia imagen, recogido en el Artículo 18.1 de nuestra Constitución.  Sumado a ello, en nuestro país los ciudadanos también tenemos el derecho a recibir información veraz como garantiza el artículo 20. 1 d) de nuestra Carta Magna. La difusión consciente de fotografías, audios o videos falsos en medios de comunicación vulnera este derecho de los ciudadanos.  Los deepfakes también pueden deberse a filtraciones o fallos en relación con la protección de datos por parte de las empresas o plataformas que custodian los mismos. En cada caso particular se debería estudiar si se ha producido alguna violación de los derechos en materia de protección de datos que recogen el Reglamento Europeo de Protección de Datos y a la normativa española en la materia. 

¿Qué implicaciones tiene en materia de ciberseguridad?

Los deepfakes utilizados con fines legítimos están actualmente de moda en nuestro país debido al anuncio de una conocida marca de cerveza que mediante esta técnica fue capaz de resucitar con gran éxito a la popular cantante Lola Flores. Nos hallamos por tanto ante una tecnología que puede utilizarse en muchos ámbitos totalmente lícitos con excelentes resultados, como por ejemplo en el ámbito de la comunicación o del marketing.

No obstante, los deepfakes, fuera del ámbito de investigación, se empezaron a utilizar hace algunos años con un fin principalmente nocivo creando videos falsos y no consentidos generalmente de carácter sexual.  Cuando se dio a conocer al gran público esta tecnología en un foro de internet se empezaron a realizar deepfakes de mujeres famosas para crear fotografías o vídeos pornográficos manipulados y falsos de las mismas, para distribuirlos en páginas web de contenido sexual o con el fin de extorsionarlas.

Actualmente los deepfakes ofrecen a los ciberdelincuentes muchas alternativas para causar daño y se debe tener en cuenta por los profesionales de la ciberseguridad. Algunos ejemplos de uso de deepfakes que suponen un riesgo en materia de ciberseguridad son los siguientes.

• Deepfakes suplantando la identidad del directivo de una empresa. El llamado Fraude del CEO, un delito que se basa en ingeniería social generalmente mediante emails fraudulentos que suplantan la identidad de directivos de empresas, podría ser mucho más sofisticado si se utiliza esta tecnología. La utilización de videos o audios fraudulentos suplantando la identidad de un directivo ordenando a su subordinado realizar un pago o una acción concreta pueden tener enormes implicaciones para la ciberseguridad al ser más difícil de detectar por las potenciales víctimas. Ya han ocurrido casos de estafas de cientos de miles de euros producidas por este tipo de fraude del CEO utilizando deepfakes. Podéis encontrar más información sobre esto aquí

Ransomware Deepfake: Expertos en ciberseguridad plantean este concepto al que definen como: un tipo de ransomware que genera automáticamente un video falso que muestra a la víctima realizando una acción incriminatoria o íntima y amenaza con distribuirla a menos que se pague un rescate.  Se recomienda estar muy atentos en los próximos años a este riesgo para la ciberseguridad ya que  la combinación de ransomware y deepfakes tiene el potencial de ser muy dañino.

Como detectar un deepfake

La Oficina de Seguridad del Internauta (OSI) realiza una serie de recomendaciones muy útiles para detectar deepfakes.

• Identificar si un video audio o fotografía es coherente. Por ejemplo, si vemos un video de Greta Thunberg afirmando que no existe el cambio climático deberíamos considerarlo potencialmente fraudulento.
• Buscar irregularidades en el vídeo. Sombras, iluminación o indicios de haber sido manipulado.
• Revisar detenidamente la imagen. Se recomienda revisar el parpadeo del sujeto en el vídeo para ver si sigue un patrón normal, ya que normalmente no suele haber tantos datos disponibles de personas con los ojos cerrados para entrenar al algoritmo. También es recomendable fijarse en otras partes del cuerpo que no sean la cara ya que en ocasiones otras zonas del cuerpo no están tan bien logradas.
• Revisar detenidamente el audio.  La falta de sincronización entre el audio y el video, ruidos ambientales que no deberían aparecer o cambios o matices en el tono de la voz se deben de tener en cuenta.
• Estar atento a la duración. Los deepfakes suelen ser generalmente cortos, de pocos minutos de duración, ya que realizar un video falso o manipulado largo requiere una gran cantidad de tiempo y recursos que los creadores no siempre poseen. Además, en un vídeo largo es más fácil que se cometan errores que delaten la falsedad del mismo.
• Buscar información contextual del video.  Se ha de analizar quien comparte el video, si es una fuente fiable, si se trata de información contrastada y en su caso considerar quién podría estar interesado en difundir ese video.  Retomando el ejemplo de Greta Thunberg si vemos un video de ella afirmando que no existe el cambio climático y proviene de una cuenta de twitter llamada “mrconspiranoico” que ha sido retuiteado por las cuentas “latierraesplana” y “alienígenasancestrales” y de la que no se han hecho eco medios de comunicación serios y además en la biografía del creador pone que se trata de una cuenta de humor, pues deberíamos otorgar baja credibilidad al mencionado video.

Últimos consejos para evitar ser víctimas de Deepfakes

1. Tener mucho cuidado con la información que se hace pública en internet. Este es un consejo genérico que aquí también se aplica, cuando la información se publica en la red perdemos el control sobre ella. Tener bien configurada la privacidad en nuestras redes sociales es un elemento muy importante de precaución, así como leer la política de privacidad de las aplicaciones que utilizamos y no otorgar permisos innecesarios.
2. Reducir o minimizar la información multimedia que publicamos. Para evitar ser los protagonistas de un deepfake que se haga viral o se pueda utilizar para extorsionarnos se recomienda ser cuidadosos publicando fotografías videos o audios personales en la red. Se ha de tener en cuenta que cuantos más datos nuestros hay públicos, más datos existirán para entrenar a Deepfakes y más precisos y difíciles de detectar serán.
3. Contrastar, contrastar y volver a contrastar.  Se recomienda siempre que sea posible contrastar la información importante con fuentes de confianza. En el caso de hallarnos ante archivos de vídeo que no nos inspiran confianza se recomienda aplicar los pasos mencionados en el apartado anterior.
4. Tener sentido común.  

Marcelo Ruano Serna – Graduado en Criminología y Seguridad