Uncategorized 

Recomendaciones para prevenir fraudes por clonación de audio y deepfake en entornos corporativos

SCILabs

Recientemente, se dio a conocer que un empleado perteneciente a una organización del sector financiero transfirió 25 millones de dólares a ciberdelincuentes, tras ser engañado en una video llamada de Zoom donde supuestamente participaban el CFO y otros altos ejecutivos de la compañía. Sin embargo, todos los presentes en la reunión, excepto él trabajador, eran deepfakes (imágenes, videos, o voces manipuladas digitalmente para parecer personas reales). Este incidente demuestra que cualquier organización es susceptible a fraudes mediante deepfakes y clonación de voz. Debido al creciente uso de la inteligencia artificial para realizar estafas, SCILabs sugiere las siguientes medidas para evitar ser víctimas:

Recomendaciones para los departamentos de finanzas y compras

  • Establecer un proceso en el que se involucren múltiples autorizaciones para las operaciones relacionadas con transacciones financieras a partir de cierto monto.
  • Prohibir a todos los empleados de finanzas el movimiento de fondos a partir de llamadas telefónicas, o videoconferencias de urgencia provenientes de altos funcionarios dentro de la organización, incluyendo al CFO.
  • Pedir al CEO emitir un comunicado en el que prohíba el movimiento de fondos urgentes sin seguir el proceso definido para este fin.
  • Usar una doble verificación a partir de cierto monto, que implique la validación de la identidad de quienes están involucrados en la transacción por un medio distinto al que se hizo la petición.
  • Para peticiones telefónicas o en video llamadas relacionadas con dinero, usar una frase de autenticación que sea únicamente conocida por los altos ejecutivos de la organización y los miembros del equipo de finanzas. Cambiar dicha frase periódicamente o cuando haya cambios de personal.
  • Establecer un proceso con proveedores en el que se incluyan validaciones de identidad por más de dos medios para el cambio de cuentas bancarias a las que se realizan movimientos de fondos.
  • Si se recibe una llamada urgente de algún alto funcionario de la organización, colgar y contactarle por los medios predefinidos.
  • No aceptar cambios de número de cuenta para pago a proveedores hechos por teléfono o video llamada.
  • Desconfiar de descuentos inesperados a cambio de realizar pagos urgentes a nuevos números de cuenta de proveedores.
  • Desconfiar de ofertas de inversión para el efectivo de la organización que sean realizados por medio de video llamadas o llamadas telefónicas y que implique el cambio de cuentas bancarias a donde el dinero debe ser depositado.
  • Desconfiar de descuentos en pagos de deuda de la organización cuando la oferta sea hecha usando audio o video e implique el pago a un nuevo número de cuenta bancaria.
  • Agregar validaciones de identidad al proceso de transacciones relacionadas con inversiones de la organización para asegurar que un atacante no está suplantando la identidad del asesor financiero.
  • Agregar validaciones de identidad al proceso de registro de cuentas bancarias para pago a proveedores.
  • En peticiones de transferencias bancarias desconfiar siempre de la llamada a pesar de que venga desde un número de teléfono registrado ya que los atacantes han encontrado formas de suplantar  números telefónicos, por ello siempre se debe de colgar y contactar a la persona por los canales seguros definidos por la organización.

Recomendaciones para el departamento de ventas

  • Agregar procesos de validación de identidad para el envío urgente de productos que salgan del patrón de compra usual a un cliente existente.
  • Evaluar la identidad de nuevos clientes antes de surtir órdenes de compra, ya que los atacantes podrían suplantar la identidad del CEO de una compañía importante para engañar al vendedor a través de una video llamada y que este no haga las validaciones necearías como parte del proceso de adición de nuevos clientes.
  • Desconfiar del número de teléfono que realiza la llamada a pesar de estar registrado en los contactos, ya que los atacantes pueden suplantarlo al igual que la voz, por ello se debe de colgar y regresar la llamada para el caso de órdenes de compra urgentes o la adición de nuevos clientes.

Recomendaciones para el departamento de seguridad y tecnologías de la información

  • No omitir procesos predefinidos que incluyan el colgar y llamar al número registrado para la autorización de peticiones de seguridad que puedan poner en riesgo a la organización.
  • Validar las peticiones relacionadas con temas financieros con el superior inmediato para que este se pueda cerciorar de su certeza.
  • En caso de recibir peticiones, para llevar a cabo una de las siguientes tareas por medio de llamadas de voz o video provenientes de altos ejecutivos, realice una validación de identidad previa:
    • Deshabilitar MFA
    • Crear nuevas cuentas de VPN o Citrix.
    • Habilitar herramientas de acceso remoto a partir de llamadas de voz o video llamadas de altos ejecutivos de la organización.
    • Dar de alta nuevos usuarios administradores en el directorio activo o herramientas de seguridad.
    • Dar de alta nuevos usuarios administradores en SAP o Salesforce.
    • Realizar cambios que debiliten la seguridad de la organización.

Recomendaciones para todos los empleados

  • En la oficina, sí te piden transferir una llamada a un alto ejecutivo o a algún miembro del departamento de finanzas, colgar y contactar a quien supuestamente hizo la llamada originalmente.
  • Al recibir una llamada de un alto ejecutivo colgar y contactarlo por un medio de comunicación seguro, previamente definido por la organización.
  • No confiar en peticiones realizadas por audio o video llamada que implique el movilizar procesos para transferencias bancarias urgentes, debido a que los atacantes pueden usar la técnica de llegar al equipo de finanzas a través de otro empleado lo que provoque la omisión de validaciones de identidad del proveedor o alto ejecutivo que pida la transferencia bancaria.