Las nuevas tecnologías están claramente cambiando el mundo, pero no la psique humana. Como resultado, los genios malvados están ideando innovaciones tecnológicas para atacar las vulnerabilidades del cerebro humano. Un ejemplo muy claro es la historia de cómo los estafadores imitaron la voz de un director ejecutivo internacional para engañar al responsable de una filial para que transfiriese dinero a cuentas turbias.
¿Qué ha pasado?
Se desconocen los detalles del ataque, pero el Wall Street Journal, citando a la empresa de seguros Euler Hermes Group SA, describe el incidente de la siguiente manera:
Respondiendo a una llamada telefónica, el director general de una empresa energética con sede en el Reino Unido pensó que estaba hablando con su jefe, el director general de la empresa matriz alemana de la empresa, quien le solicitó que enviase 220 000 euros a un proveedor húngaro (ficticio, como se supo más tarde) en el plazo de una hora.
El ejecutivo británico transfirió la cantidad solicitada.
Los atacantes volvieron a llamar para decir que la empresa matriz había transferido dinero para reembolsar a la empresa británica.
Hicieron una tercera llamada más tarde ese día, otra vez haciéndose pasar por el director ejecutivo, y le solicitaron que realizase un segundo pago.
Debido a que la transferencia de reembolso de los fondos todavía no había llegado y la tercera llamada provenía de un número de teléfono austriaco y no alemán, el ejecutivo comenzó a sospechar. No realizó el segundo pago.
¿Cómo se llevó a cabo el ataque?
Las aseguradoras están considerando dos posibilidades. O bien los atacantes tamizaron un gran número de grabaciones del director ejecutivo y juntaron manualmente los mensajes de voz, o (más probablemente) desataron un algoritmo de aprendizaje automático en las grabaciones. El primer método requiere mucho tiempo y es poco fiable, es extremadamente difícil ensamblar una frase coherente a partir de palabras separadas sin que el resultado suene sospechoso. Y según la víctima británica, el discurso era absolutamente normal, con un timbre claramente reconocible y un ligero acento alemán. Así que se sospecha que lo que se ha utilizado es IA. Pero el éxito del ataque tuvo menos que ver con el uso de nuevas tecnologías que con la distorsión cognitiva, en este caso, la sumisión a la autoridad.
Psicología postmortem
Los psicólogos sociales han realizado muchos experimentos que muestran que incluso las personas inteligentes y experimentadas son propensas a obedecer a la autoridad sin cuestionarse el motivo de la orden, incluso si hacerlo va en contra de las convicciones personales, el sentido común o las consideraciones de seguridad.
En su libro «The Lucifer Effect: Understanding How Good People Turn Evil», Philip Zimbardo describe este tipo de experimento, en el cual las enfermeras recibieron una llamada telefónica de un médico solicitándoles que inyectaran a un paciente una dosis de medicamento del doble de la cantidad máxima permitida. De 22 enfermeras, 21 llenaron la jeringa según las instrucciones. De hecho, casi la mitad de las enfermeras encuestadas habían seguido las instrucciones de un médico que, en su opinión, podían perjudicar a un paciente. Las obedientes enfermeras creían que tenían menos responsabilidad en las órdenes que un médico con autoridad legal para prescribir un tratamiento a un paciente.
El psicólogo Stanley Milgram también explicó la obediencia incuestionable a la autoridad utilizando la teoría de la subjetividad, cuya esencia es que si las personas se perciben a sí mismas como herramientas para cumplir las voluntades de los demás, no se sienten responsables de sus actos.
¿Qué se debe hacer?
Simplemente es imposible saber con un 100 % de certeza con quién se está hablando por teléfono, especialmente si se trata de un personaje público y hay grabaciones de su voz (entrevistas, discursos) disponibles al público en general. Hoy en día es raro, pero a medida que avanza la tecnología, este tipo de incidentes se harán más frecuentes.
Siguiendo incuestionablemente las instrucciones, podrías estar haciendo real la voluntad de los delincuentes cibernéticos. Es normal obedecer a nuestro superior, por supuesto, pero también es crítico cuestionar decisiones gerenciales extrañas o ilógicas.
Solo podemos aconsejar a los empleados que no sigan las instrucciones a ciegas. Es preciso tratar de no dar órdenes sin explicar el motivo. De esa manera, es más probable que cualquier empleado consulte una orden inusual si no hay una justificación aparente.
Desde un punto de vista técnico, recomendamos:
prescribir un procedimiento claro de transferencia de fondos para que ni siquiera los empleados de alto rango puedan transferir dinero fuera de la empresa sin supervisión. Establecer un procedimiento de autorización mediante el cual las transferencias de grandes sumas deban ser autorizadas por varios administradores.
Proporcionar formación a los empleados en los fundamentos de la ciberseguridad y formarles para que reciban siempre las órdenes con una saludable dosis de escepticismo. Nuestros programas de concienciación sobre amenazas son de gran utilidad a este respecto.
Recursos: https://www.kaspersky.co.in/blog/machine-learning-fake-voice/16753/