Los fraudes con aprendizaje automático

7 Oct 2019

Está claro que las nuevas tecnologías están cambiando el mundo, pero no la mente humana. El resultado es que los genios del mal ingenian innovaciones tecnológicas cuyo objetivo son las vulnerabilidades del cerebro humano. Un vivo ejemplo de esto es la historia sobre cómo los estafadores imitaron la voz de un CEO de nivel internacional para manipular a una empresa filial con el fin de que transfiriera dinero a cuentas sospechosas.

¿Qué sucedió?

Se desconocen los detalles del ataque, pero el Wall Street Journal, citando a la empresa de seguros Euler Hermes Group SA, describió el incidente de la siguiente forma:

  1. Al responder una llamada telefónica, el CEO de una empresa energética británica pensó que estaba hablando con su jefe, el director ejecutivo de la empresa matriz alemana, quien le solicitó que enviara 220.000 euros a un proveedor húngaro (ficticio, como se descubrió más adelante) en un plazo de una hora.
  2. El ejecutivo británico transfirió la cantidad solicitada.
  3. Los atacantes llamaron de nuevo para comunicar que la empresa matriz había transferido el dinero para reembolsar a la empresa británica.
  4. Luego, volvieron a llamar por tercera vez ese día, haciéndose pasar por el CEO, y solicitaron un segundo pago.
  5. Como no habían recibido la transferencia que hacía el reembolso y la tercera llamada provenía de un número de Austria, y no de Alemania, el ejecutivo comenzó a sospechar, por lo que no hizo el segundo pago.

¿Cómo fue el proceso?

La empresa aseguradora contempla dos posibilidades: o los atacantes repasaron una gran cantidad de grabaciones del CEO y fueron uniendo mensajes o bien, desplegaron un algoritmo de aprendizaje automático en las grabaciones, lo cual es más probable. El primer método necesita muchísimo tiempo y no es seguro, ya que es extremadamente difícil construir una oración coherente de dos palabras aisladas sin que suene desentonado. Y, según la víctima británica, el discurso era absolutamente normal, con un timbre claramente reconocible y un leve acento alemán. De este modo, el sospechoso principal es la IA. Pero el éxito del ataque tiene menos que ver con el uso de las nuevas tecnologías que con la distorsión cognitiva, en este caso, el sometimiento a la autoridad.

Post mortem psicológico

Los psicólogos sociales han llevado a cabo muchos experimentos que han demostrado que incluso las personas inteligentes y experimentadas son propensas a obedecer a la autoridad de modo incuestionable, incluso si esto va en contra de sus convicciones personales, sentido común o cuestiones de seguridad.

En su libro El efecto Lucifer: el porqué de la maldad, Philip Zimbardo describe este tipo de experimento, en el cual las enfermeras reciben una llamada telefónica de un médico que les pide inyectar a un paciente el doble de la dosis permitida de un medicamento. De 22 enfermeras, 21 llenaron la jeringuilla según la orden. De hecho, casi la mitad de las enfermeras encuestadas había seguido las instrucciones de un médico que, en su opinión, podría haber causado daño al paciente. Las enfermeras obedientes creyeron que tenían menos responsabilidad que un médico con la autoridad legal de prescribir el tratamiento a un paciente.

El psicólogo Stanley Milgram explicó igualmente la obediencia ciega a una autoridad mediante la teoría de la subjetividad; dicha teoría básicamente propone que, si las personas se perciben a sí mismas como instrumentos para la voluntad de otros, entonces no se sienten responsables de sus acciones.

¿Qué se puede hacer?

Simplemente no hay modo de saber con total certeza con quién estamos hablando por teléfono;  especialmente si se trata de una figura pública y las grabaciones de su voz (discursos y entrevistas) son públicas. Hoy en día esto es poco común, pero a medida que la tecnología avance, estos incidentes se volverán más frecuentes.

Así que, al obedecer ciegamente, puede que estés cumpliendo la voluntad de los ciberdelincuentes. Por supuesto que es normal obedecer al jefe, pero también es importante cuestionar las decisiones administrativas extrañas o ilógicas.

Solo podemos aconsejar que no se fomente en los empleados la obediencia absoluta. Procura que tus órdenes estén acompañadas de una justificación. De esta forma, es más probable que un empleado se cuestione una orden inusual si no hay motivo aparente para ella.

Desde un punto de vista técnico, recomendamos lo siguiente:

  • Formula un procedimiento claro para la transferencia de fondos, de modo que incluso los empleados de alto nivel no puedan enviar dinero fuera de la empresa si no es bajo supervisión. Varios responsables deben aprobar la transferencia de sumas cuantiosas.
  • Muestra a tus empleados los fundamentos de la ciberseguridad y enséñales a recibir las órdenes con cierto nivel de escepticismo. Nuestros programas de concienciación en seguridad te ayudarán con este tema.