Los fraudes con aprendizaje automático

7 Oct 2019

Queda claro que las nuevas tecnologías están cambiando el mundo, pero no la psique humana. El resultado es que los criminales ingenian innovaciones tecnológicas cuyo objetivo son las vulnerabilidades del cerebro humano. Un vivo ejemplo de esto es la historia sobre cómo los defraudadores imitaron la voz de un CEO de nivel internacional para manipular a una empresa filial con el fin de que transfiriera dinero a cuentas sospechosas.

¿Qué sucedió?

Se desconocen los detalles del ataque, pero el Wall Street Journal, citando a la empresa de seguros Euler Hermes Group SA, describió el incidente de la siguiente forma:

  1. Al responder una llamada telefónica, el CEO (presidente ejecutivo, por sus siglas en inglés) de una empresa energética británica pensó que estaba hablando con su jefe, el director ejecutivo de la empresa matriz alemana, quien le solicitó el envío de €220,000 a un proveedor húngaro (ficticio, como traslució más adelante) en el espacio de una hora.
  2. El ejecutivo británico transfirió el monto solicitado.
  3. Los atacantes llamaron de nuevo para comunicar que empresa matriz habían transferido el dinero para reembolsar a la empresa británica.
  4. Luego, hicieron una tercera llamada durante el transcurso de ese día, haciéndose pasar por el CEO, y solicitaron un segundo pago.
  5. Puesto que la transferencia que hacía el reembolso de los fondos no se había reflejado y la tercera llamada provenía de un número de Austria, y no de Alemania, el ejecutivo empezó a recelar, por lo que no hizo el segundo pago.

¿Cómo se logró?

La empresa aseguradora contempla dos posibilidades: o los atacantes repasaron una gran cantidad de grabaciones del CEO y armaron manualmente los mensajes; o bien, desplegaron un algoritmo de aprendizaje automático en las grabaciones, lo cual es más probable. El primer método toma muchísimo tiempo y no es confiable,  ya que es extremadamente difícil construir una oración coherente de dos palabras aisladas sin que suene desentonado. Y según la víctima británica, el discurso era absolutamente normal, con un timbre claramente reconocible y un leve acento alemán. De este modo, el sospechoso principal es la IA. Pero el éxito del ataque tiene menos que ver con el uso de las nuevas tecnologías que con la distorsión cognitiva, en este caso, el sometimiento a la autoridad.

Post-mortem psicológico

Los psicólogos sociales han llevado a cabo muchos experimentos que demostraron que incluso las personas inteligentes y experimentadas son propensas a obedecer la autoridad de modo incuestionable, incluso si esto va en contra de sus convicciones personales, sentido común o cuestiones de seguridad.

En su libro El efecto Lucifer: el poder de la maldad, Philip Zimbardo describe este tipo de experimento, en el cual las enfermeras reciben una llamada telefónica de un médico que les pide inyectar medicamento a un paciente en una dosis el doble del límite permitido. De 22 enfermeras, 21 llenaron la jeringuilla según la orden. De hecho, casi la mitad de las enfermeras encuestadas había seguido las instrucciones de un médico que, en su opinión, podría haber causado daño al paciente. Las enfermeras obedientes creyeron que tenían menos responsabilidad que un médico con la autoridad legal de prescribir el tratamiento a un paciente.

El psicólogo Stanley Milgram explicó igualmente la obediencia ciega a una autoridad mediante la teoría de la subjetividad; dicha teoría básicamente propone que si las personas se perciben a sí mismas como instrumentos para la voluntad de otros, entonces no se sienten responsables de sus acciones.

¿Qué se puede hacer?

Simplemente no hay modo de saber con total certeza con quién estamos hablando por teléfono;  especialmente si se trata de una figura pública y las grabaciones de su voz (discursos y entrevistas) son públicas. Hoy en día esto es poco común, pero a medida que la tecnología avance, estos incidentes se volverán más frecuentes.

Así que, al obedecer ciegamente, puede que estés cumpliendo la voluntad de los cibercriminales. Por supuesto que es normal obedecer al jefe, pero también es importante cuestionar las decisiones administrativas extrañas o ilógicas.

Como mucho, solo podemos aconsejar no fomentar en los empleados la obediencia absoluta. Procura dar órdenes acompañadas de su justificación. De esta manera, es más probable que un empleado indague una orden inusual si no hay motivo aparente para ella.

Desde un punto de vista técnico, recomendamos lo siguiente:

  • Formula un procedimiento claro para la transferencia de fondos, de modo que incluso los empleados de alto nivel no puedan mover dinero fuera de la empresa si no es bajo supervisión. Varios responsables deben aprobar la transferencia de sumas cuantiosas.
  • Capacita a tus empleados en los fundamentos de la ciberseguridad y enséñales a leer las órdenes recibidas con un saludable nivel de escepticismo. Nuestros programas de concientización en seguridad te ayudarán a este respecto.