¿Qué son los deepfakes?

Las deepfakes son montajes de video, imagen o voz manipulados mediante software especializado para hacerlos parecer reales. Se utilizan comunmente para estafar o manipular personas y distribuir mensajes falsos como propaganda política o publicidad engañosa.

Tipos de deepfakes

Deepfaces

Son deepfakes que consisten en crear imágenes convincentes, pero completamente falsas, a partir de imágenes ya conocidas. Mediante el uso de inteligencia artificial, se manipulan y generan nuevas imágenes o videos basados en otros existentes, reemplazando a la persona que aparece en ellos. El objetivo es generar diferentes imágenes estáticas para crear una secuencia de video, de modo que, como resultado final, se obtenga un video falso que parezca verídico.

Deepvoice

Este tipo de deepfake simula la voz de una persona en una grabación de audio, haciéndola pronunciar palabras que en realidad no dijo. En 2019, se produjo una estafa notable facilitada por inteligencia artificial, cuando unos cibercriminales hicieron creer a un ejecutivo que estaba hablando con el CEO de su empresa, logrando que les transfiriera más de 250.000 dólares.

La campaña oriental

Uruguay fue objetivo de una campaña maliciosa que aprovechaba estas nuevas técnicas de estafa. Utilizando distintas figuras públicas como el actual presidente Luis Lacalle Pou, el ex presidente José Mujica, y el ex ministro de salud Daniel Salinas, surgieron vídeos e imágenes que promocionan la compra de criptomonedas falsas y tratamientos de salud inexistentes con el fin de convencer a potenciales víctimas de hacerse ricas o aumentar su longevidad.

Estas publicaciones están posicionadas estratégicamente mediante publicidad paga en Facebook, apuntando a un segmento específico de audiencia: mayores de 25 años oriundos de Uruguay.

Al ingresar a estos enlaces, nos recibe un sitio apócrifo que simula ser el conocido diario uruguayo Subrayado, con una noticia igualmente falsa que apoya el producto o servicio que intentan vendernos.

Cyber títeres

En el video más difundido, que muestra al actual mandatario de Uruguay Luis Lacalle Pou, notamos algunas cuestiones que delatan la naturaleza titiritesca del mismo:

• Existe un sutil desfase entre el movimiento de los labios y el sonido emitido por el protagonista del video.

• La intérprete de señas comunica algo que no se corresponde con lo que dice el video.

• Existen parpadeos y fallos gráficos a la altura del cuello, deformando el movimiento y denotando que “algo no está bien”.

• En ese mismo video, el presidente evita el clásico yeísmo rehilado (hablar con “sh” en lugar de “ll”), diciendo “ienar el tanque” en vez de la clásica pronunciación rioplatense “shenar el tanque”. Otras expresiones como “tómate” (acentuación no utilizada en estas latitudes) o sabéis son indicadores importantes de este engaño.

Es importante entender también por qué las figuras públicas resultan de interés para los ciberdelincuentes:

• Son caras conocidas, y tendrán más posibilidades de que la gente confíe en el mensaje que llevan: “lo dijo el Presidente”, “lo dice el Ministro de Salud”, etc.

• Son figuras públicas y por tanto hay muchísimo material audiovisual para entrenar un modelo de inteligencia artificial que los imite de forma relativamente creíble.

Es la primera vez que Uruguay ve una campaña de este tipo, y por eso creímos necesario bautizar al actor de amenazas: lo llamamos “Political Puppet” y lo inmortalizamos en un pulso de inteligencia.

Consecuencias

Los videos llevan a enlaces a sitios engañosos donde se ofrecen todo tipo de falsedades para comprar o invertir: criptomonedas “respaldadas por el presidente”, tratamientos de salud “respaldados por el ministro de salud”, métodos “para volverse millonario” utilizando su tarjeta prepaga Prex, y otras tantas ofertas demasiado buenas para ser ciertas.

Si bien hay variedad de elección, el resultado es siempre el mismo: un asesor se pondrá en contacto con la víctima para ayudarle a alcanzar su objetivo, tanto sea volverse millonario como mejorar su calidad de vida, e inevitablemente la historia culminará con robo de información personal y una reputación crediticia arruinada.

Bajar el telón

Es hora de que los títeres vuelvan a su caja, pero esto no va a suceder automáticamente por más organismos de ciberseguridad que existan, o términos y condiciones de uso aceptables que establezcan las plataformas. Sin un reporte denunciando la situación, ningún proveedor, sea red social, registro de dominios o servidor de VPS, tomará cartas en el asunto.

Tras recolectar toda la inteligencia posible sobre el actor de amenazas y las marcas y personas que intentaba suplantar, procedimos a los reportes correspondientes que incluían:

• 4 perfiles de Facebook (reportados a Meta Inc) desde los que se difundía esta campaña mediante publicidad paga.

• 4 dominios del TLD “.best” (reportados al registro, Sav.com LLC) donde se alojan varios sitios web apócrifos que imitan al diario Subrayado y desde los cuales se distribuyen noticias falsas en apoyo al producto o servicio falso ofrecido.

• 4 dominios del TLD “.best” (reportados al proveedor de seguridad, Cloudflare Inc).

• 4 direcciones de email (reportadas al proveedor, 1&1 Mail & Media Inc).

Si bien esto no detendrá permanentemente el avance del actor, lo demorará un buen tiempo hasta que vuelva a arreglar sus títeres para poder jugar de nuevo. Y esta vez, esperamos que sea fuera de Uruguay.

Soy Emmanuel Di Battista, Analista de Ciberseguridad de Birmingham Cyber Arms LTD y líder del Capybara Team. Espero que les haya gustado esta edición especial.