Crece temor a estafas deepfake de identidad a raíz de hackeo de Progress

Los expertos han advertido durante mucho tiempo sobre el crecimiento de las estafas de deepfake, en las que los delincuentes combinan programas informáticos de inteligencia artificial (IA) con información personal para crear semejanzas digitales realistas de las personas y eludir así los controles de seguridad tradicionales.

El número de deepfakes utilizados en estafas en sólo los tres primeros meses de 2023 superó por mucho todo el de 2022, según Sumsub, una plataforma de verificación con sede en Miami, con un crecimiento especialmente alto en Canadá, EEUU, Alemania y Reino Unido.

Esto se debe a que la falsificación de la identidad de un ciudadano occidental posibilita no sólo las estafas bancarias y en línea tradicionales, sino también el robo de prestaciones del gobierno.

Por ejemplo, Haywood Talcove, director ejecutivo de LexisNexis Risk Solutions, dijo que el tipo de información robada en el hackeo de Progress — fotografías, nombres, fechas de nacimiento, direcciones particulares y partes de sus números de la seguridad social — podría utilizarse para crear selfies de vídeo falsos que muchas agencias estatales estadounidenses utilizan para verificar identidades.

Eso podría permitirles a los delincuentes reclamar con éxito prestaciones por desempleo y solicitar préstamos universitarios federales, vales de comida y otros programas. Calculó que cada identidad robada puede aprovecharse para sustraer hasta US$2 millones sólo de los programas de prestaciones del gobierno.

"Conforme avanza la IA y los estafadores disponen de más herramientas, el uso del fraude sintético aumenta a un ritmo alarmante", dijo Pavel Goldman-Kalaydin, de Sumsub, quien dice que la compañía tiene que seguir ideando nuevas formas de detectar estas sofisticadas falsificaciones.

El 31 de mayo, tras la filtración de los datos de al menos uno de sus clientes, Progress reveló que los hackers habían descubierto debilidades en su software que les permitía atacar a sus clientes.

La filtración provocó eventualmente el robo de terabytes de datos de clientes de Progress, como la compañía petrolera Shell y los rivales contables PwC y EY, así como de docenas de agencias gubernamentales estadounidenses, entre ellas el Departamento de Agricultura, los servicios sanitarios de Maryland y el sistema de pensiones de California, uno de los mayores del mundo.

La enorme variedad de víctimas — muchas de las cuales aún no han reconocido públicamente la filtración — están conectadas entre sí por su dependencia de un software llamado MOVEit, fabricado por Progress, que se anunciaba como un método seguro para que las compañías cumplieran las regulaciones sobre procesamiento de datos, manteniendo a salvo su información más preciada tanto en tránsito como en almacenamiento.

Se esperaba que la segunda parte del atraco fuera la extorsión: exigir el pago o los datos se pondrían en la "dark web", o internet oscuro. Por ejemplo, los piratas informáticos publicaron recientemente una gran cantidad de datos de Shell, lo que indica que la compañía no pagó el rescate. Shell dijo que un número muy pequeño de sus empleados utilizaba el software MOVEit, y que el resto de sus sistemas no se vieron afectados.

"Esto no fue un evento de ransomware [secuestro de datos con el fin de pedir rescate]", dijo la compañía.

Los hackers, que declinaron hacer comentarios por correo electrónico, también utilizaron una sofisticada webshell, o puerta trasera, que parece haber eludido las medidas de seguridad estándar del sector de compañías como Microsoft o CrowdStrike, según dos personas familiarizadas con la investigación inicial del hackeo.

Progress dijo que estaba colaborando con las fuerzas del orden y ayudando a sus clientes a proteger mejor sus datos, "incluyendo la aplicación de los parches que hemos publicado".

Progress se está apoyando en la consultora Charles River Associates, en la división forense del bufete de abogados DLA Piper y en la empresa de ciberseguridad Mandiant, propiedad de Google, mientras se prepara para las demandas en su contra.

Los gobernadores de Louisiana y Oregon han mantenido conversaciones de emergencia sobre el hackeo y les han pedido a los ciudadanos que congelen su crédito, cambien todas sus contraseñas y vigilen sus cuentas de prestaciones.

"Los sindicatos del crimen organizado, las operaciones estatales y los grupos profesionales del fraude son los que tienen más probabilidades de utilizar esta información con la intención de cometer fraudes de identidad a escala mundial", dijo Ron Atzmon, fundador de AU10TIX, una compañía con sede en Israel que cuenta entre sus clientes a Google, Microsoft, PayPal y LinkedIn.

Como los datos robados eran reales, dijo, "se verificarán como auténticos cuando se intente cometer fraude, lo que permitirá que pasen la mayoría de los controles de casos".

Y añadió: "Creemos que en los próximos meses veremos un repunte de los ataques de fraude en serie en todos los ámbitos, debido a la afluencia de información sobre identidades robadas que llegará a manos de defraudadores profesionales".

En el Sistema de Jubilación de los Empleados Públicos de California, o CalPERS, los hackers de Cl0p se apoderaron de los datos personales de unos 769,000 jubilados y sus supervivientes. Los datos de estadounidenses fallecidos recientemente son especialmente valiosos en el mercado negro, dijo un funcionario privado de ciberseguridad que participó en las investigaciones de varias víctimas.

"Pueden abrir una tarjeta de crédito a nombre de una persona muerta, pedir préstamos, redirigir los pagos de la seguridad social, registrarse para recibir prestaciones alimentarias", dijo la persona. "¿Quién va a darse cuenta?", dijo.