El mundo de los negocios se vio sacudido a principios de este año cuando un trabajador financiero en Hong Kong fue engañado para entregar $25.6 millones (200 millones de dólares de Hong Kong) después de unirse a una videollamada a la que creía que lo había invitado su director financiero.
Pero ese costoso error podría haberse evitado fácilmente. Joey Johnson, director de seguridad de la información de Premise Health, un proveedor de servicios de atención médica in situ, dijo que hay una manera sencilla de detectar la tecnología deepfake, en este caso, una destinada a ser interactiva. Johnson habló en un panel de ciberseguridad en ENGAGE at HLTH, la programación asociada de MedCity News en HLTH el domingo.
Vamos primero al timo.
Según informes de noticias, a principios de este año, Arup, una empresa de ingeniería y arquitectura con sede en Londres, alertó a la policía de Hong Kong de que un empleado local había sido engañado por un video deepfake que involucraba al director financiero de la empresa. El elaborado timo comenzó con correos electrónicos del director financiero con sede en el Reino Unido pidiendo a esa persona que aprobara una transacción secreta. Cuando el empleado ignoró esa solicitud, el correo electrónico del director financiero le pidió que se uniera a una videollamada con otros miembros del personal.
Cuando el empleado se unió a la llamada, se alegró de encontrar a su director financiero y a otros miembros del personal en la llamada. Luego, aprobó 15 transferencias bancarias a través de múltiples cuentas por un total de $25.6 millones como lo solicitó su jefe. Resulta que la videollamada estaba poblada por múltiples videos deepfake de empleados reales de la empresa, incluido el director financiero.
Cómo detectar el deepfake.
Estos timos sofisticados son totalmente posibles con la tecnología de IA, que Johnson describió como una tecnología como el fuego, tanto buena (capaz de cocinar tu comida) como mala (también puede quemarte).
Johnson explicó que le ha dicho a su esposa e hijos que su persona digital podría ser fácilmente secuestrada por razones nefastas dado que habla ampliamente en conferencias. En otras palabras, tanto su voz como su imagen son fácilmente obtenibles.
“Puedes ver un video mío. Puedes escucharme. Va a ser mi voz. Va a parecerme. Va a sonar como yo. Va a ser lo que sea”, dijo a la audiencia en HLTH.
Entonces, ¿cómo pueden estar seguros de que es Johnson quien les está hablando a través del video?
“Por lo tanto, necesitamos crear una palabra segura para la familia. Puede ser lo que quieras, pero tal vez algún recuerdo de unas vacaciones… para que puedas decir, ‘Oye, papá, ¿cuál es la palabra segura?’ Porque el adversario no va a saber eso. Ninguna cantidad de IA les dará esa respuesta. Entonces, eso es algo que puedes usar personalmente. También es algo que implementamos profesionalmente dentro de nuestra organización para tratar de proteger ciertas cosas”.
El co-panelista de Johnson, Chris Bowen, fundador y director de seguridad de la información de ClearDATA, una empresa que ayuda a las organizaciones de atención médica a evaluar las vulnerabilidades de los datos y protegerlos, estuvo de acuerdo en que una simple precaución como esa es todo lo que se necesita para detectar a los actores malintencionados.
Compartió algunos otros consejos.
Realizar Evaluaciones de Seguridad en Toda la Organización.
El desafío con entidades de atención médica grandes es que a veces tienen miles de aplicaciones en sus sistemas y muchos proveedores diferentes que deben gestionar. Evaluar todo eso y saber qué riesgos se pueden correr es absolutamente esencial.
“¿Qué tipo de datos va a tocar este proveedor? Creo que he realizado varias centenas de evaluaciones de riesgos de seguridad en la primera parte de nuestra empresa, y ese análisis de criticidad es tan importante porque tienes que entender de todos tus activos, cuáles son los más importantes para ti para ejecutar como empresa, para proteger esos datos,” dijo Bowen.
Saber es la mitad de la batalla en este sentido.
“Un pequeño error con un MFA y mira lo que pasó, ¿verdad?” dijo Bowen, refiriéndose al ciberataque de Change Healthcare que llevó al sistema de atención médica a sus rodillas. “Estoy de acuerdo contigo, [Johnson], en iluminar el riesgo. Vamos a iluminar. Y cuanto más luz podamos arrojar [más podemos] encontrar los monstruos que están debajo de la cama”.
Ser minucioso y deliberado.
Conocer tus riesgos es crucial, pero ser minucioso acerca de cuánto seguro cibernético necesitas comprar y qué estará cubierto no es menos importante.
“Es realmente triste que si omites algo en tu cuestionario de solicitud, es posible que no estés cubierto, y eso puede ser algo que se haya caído del CMDB, la base de datos de gestión de configuración que muestra cuáles son todos tus activos. Bueno, si te pierdes uno, las compañías de seguros tienen una buena forma de salir de eso…”, advirtió.
Aún así, aunque es importante entender dónde están tus datos y cómo protegerlos, la realidad es que no puedes cubrirlo todo, dijo.