Han intentado estafarme por teléfono suplantando a mi padre con inteligencia artificial. Menos mal que siempre uso un truco que aprendí de Google

Hoy he recibido una llamada de teléfono sospechosa, y eso que era mi padre quien me hablaba. Pero estaba inusualmente raro, se mostraba algo frío y había algo en la llamada que no terminaba de cuadrarme del todo. Menos mal que había activado hacía meses un truco que aprendí de los sistemas 2FA de Google, en una comida familiar, y pude descubrir que se trataba de una voz artificial que imitaba a mi padre y que buscaba estafarme.

Porque sí, se están usando sistema de imitación de voz en tiempo real para hacerse pasar por cualquier persona de la que tengan una muestra de voz. Y los sistemas de inteligencia artificial son tan avanzados que a no ser que uses una pregunta de seguridad, previamente acordada, te la pueden colar. Este sistema de estafas imitando voces se llama Vishing, y te cuento cómo funciona y cómo evitarlo.

Los Deepfake de audio usando una IA en una llamada de teléfono

Si algo evoluciona junto a una tecnología, eso son las formas de usarla al margen de la legalidad. En el caso de aplicaciones como WhatsApp, se ha puesto de moda entre los cibercriminales piratear cuentas de usuarios/as y contactar con sus seres queridos mediante mensajes haciéndose pasar por ellos, con la idea de hacerlos creer que están en una situación desesperada y les transfieran dinero.

Por otro lado, hemos empezado a ver estafas en las que recibes una llamada, suena una voz claramente grabada y te dice que la agregues a WhatsApp para hablar con esa persona. Si combinas estas dos estafas con las posibilidades que te da la Inteligencia Artificial en cuanto a crear 'deepfakes', tienes una situación explosiva.

Tal y como revela la web Maldita.es, algunos estafadores están usando ahora mismo la IA para generar voces clonadas. Y con ellas envían audios o llamadas directamente a personas que creen identificar la voz real de un familiar, de un compañero/a de trabajo, etc. La idea es siempre la misma: hacerse con sus datos personales y/o bancarios y su dinero.

Casos reales de personas que han recibido deepfakes de audio durante llamadas de teléfono

• Cuerpos de Seguridad como los Mossos d’Esquadra han advertido sobre el uso de “deepfakes de audio” durante llamadas de teléfono: “Simulan las voces de personas conocidas, como por ejemplo de familiares, para, bajo cualquier pretexto, obtener datos personales o transferencias de dinero”.
• El Instituto Nacional de Ciberseguridad (INCIBE) compartió el caso de una usuaria que recibió una llamada de un número desconocido y escuchó la voz de su marido diciéndole: “¡Hola! No te puedo llamar, envíame un mensaje a este  número”. Esta mujer llamó a su pareja al número de teléfono habitual de él, y este negó que le hubiese enviado nada, constatando que era un intento de estafa
• La propia web de Maldita.es publicó el caso de Ana, "una lectora que cayó en un timo amoroso. El ciberdelincuente se hizo pasar por el actor británico James Norton e incluso envió un audio a la víctima en el que se suplantaba la voz del actor".

Honestamente, si escuchas la voz de tu madre o tu hermano pidiéndote ayuda, hay quien como esa mujer del caso del INCIBE se dio cuenta que era grabada y llamó a su marido. Pero también hay quien, azuzado/a por la situación, pica y traga el falso anzuelo. Según expertos como Carmen Torrijos, lingüista computacional, responsable de IA, es difícil distinguir una voz clonada en un audio:

“En uno corto de 4-5 segundos es muy poco probable que detectes que la voz es clonada. En cambio, en un audio más largo (30 segundos - 1 minuto) ya puedes detectar pequeñas inflexiones, muy leves, o un tono un poco más robótico en la pronunciación rara de algunos fonemas que pueden darte una pista”.

El método que he seguido con mi padre: la palabra clave

Para evitar que esto pasase en mi familia, decidimos adoptar un enfoque basado precisamente en los sistemas de verificación de gestores de email como Gmail u Outlook, y otros como los métodos 2FA o Autenticación en dos Fases.

Google, por ejemplo, cuando te creas una cuenta te pide que incluyas una palabra o respuesta a cierta pregunta a modo de comprobación de seguridad, por si alguna vez la pierdes, te hackean la cuenta, etc. En casa hemos hecho lo mismo, sólo que en vez de tener que memorizar una palabra 'random', decidimos que, en caso de recibir una llamada de este tipo, preguntar a la otra persona algo personal suyo que conocemos, como el colegio al que fui de pequeño, el coche que conduce mi cuñado o el nombre del perro de mi hermana.

Supongo que habrá gente que en una situación de emergencia de un familiar pensará que es una tontería hacer esto. Pero, por desgracia, la maldita realidad actual está provocando que haya que protegerse de alguna forma, al menos hasta que regularicen lo de la IA, cosa que o va para largo, o no parece probable.

Por ello, si de repente te llama un familiar o un amigo pidiendo que envíes un mensaje a un número desconocido o pidiéndote dinero, y te extraña la llamada, el tono, el mensaje, el número, etc, si es un audio, llama a esa persona al número que conoces de él/ella. Si es una llamada, no dudes en preguntarle algo personal que sólo ambos conoceríais, a ver si es capaz de responderlo. Y si es posible, que la respuesta no tenga nada que ver con la pregunta, por si han tenido acceso a tu historial.

Así que si te llama tu padre, y la llamada es sospechosa, puedes preguntarle de qué color era tu mochila del colegio. Si tu padre responde 'Segunda Guerra Mundial', es que es tu padre. Si intenta adivinar el color, cuelga.

Vía | INCIBE / Maldita.es

En Mundo Xiaomi | Qué hay que contestar y qué no hay que decir al responder una llamada de spam desconocida