El auge de la IA y los videojuegos realistas ponen a disposición del cibercrimen nuevas herramientas con las que engañar al usuario. Ni los expertos en seguridad son capaces de reconocer algunos de los engaños.
Es 16 de marzo de 2022. Poco más de dos semanas después
de que los soldados rusos comiencen a plantar las botas en suelo de Ucrania, el
medio 'Ucrania 24' comparte un vídeo en sus redes sociales del presidente
Volodimir Zelenski. En apariencia, la grabación no tiene nada extraño. El
dirigente aparece ante las cámaras con vestimenta de corte marcial, esa que le
lleva acompañando desde el inicio del conflicto. Sus rasgos son los suyos, su
voz también lo es. Por eso, cuando afirma mirando a cámara que ha tomado la
decisión de rendirse a Rusia, no sería raro que quien está al otro lado, aun
presa de la incredulidad, se trague la trampa. Que la hay, y grande.
El truco en este caso recibe el nombre de 'deepfake', una
tecnología que permite, gracias al uso de inteligencia artificial (IA), alterar
rostros y audio llegando a conseguir resultados hiperrealistas. Capaces de
dejar boquiabiertos, incluso, a los expertos en ciberseguridad. Y, además, para
conseguirlo no hace falta que el 'malo' de turno sea ningún genio de la
informática; basta con descargar un software de los miles que hay actualmente
en Internet.
El caso del vídeo falso de Zelenski, producto de un
'hackeo' sufrido por el medio anteriormente citado, solo es uno más de los
tantos que, durante los últimos meses, han demostrado cómo el enorme desarrollo
tecnológico nos hace cada vez más vulnerables al engaño; y no solo a los
usuarios corrientes o a los medios de comunicación. También a la empresa,
independientemente de su tamaño, e incluso a los gobiernos. Y por si quedaba
alguna duda, la guerra en Ucrania, se está ocupando de despejarla por completo.
Desde los primeros impases del conflicto ucraniano, redes
sociales, e incluso medios de comunicación, han compartido imágenes capturadas
de videojuegos de corte bélico y las han hecho pasar por reales. Uno de los más
empleados ha sido 'Arma 3', título desarrollado por el estudio independiente
checo Bohemia Interactive. A pesar del paso del tiempo, la compañía no ha
conseguido que las imágenes dejen de emplearse para desinformar mostrando
presuntos ataques de artillería o movimientos de tropas.
El Mundial, en YouTube
«Hemos intentado luchar contra este tipo de contenido
señalando estos vídeos a los proveedores de las plataformas en las que se
publican (YouTube, Facebook, Twitter, Instagram, etc.), pero ha demostrado ser
bastante ineficaz. Por cada vídeo que logramos que se retire, aparecen diez más
cada día», explica Pavel Křižka, director de relaciones públicas de Bohemia
Interactive, en un comunicado remitido a ABC. El ejecutivo señala, no obstante,
que es consciente de que su título es capaz de recrear conflictos bélicos «de
forma muy realista». Y es que es precisamente hacia ahí, hacia la réplica
perfecta de la realidad, hacia donde rema la industria del videojuego desde
hace años. Un negocio que mueve en España más del doble de dinero que el cine y
la música grabada juntas y acumula millones de jugadores.
«La industria está explotando mucho la capacidad gráfica.
Un lanzamiento de misiles en un videojuego, a día de hoy, puede parecer
completamente real, incluso es posible conseguir que parezca que se está
grabando desde un móvil. Da el pego totalmente», explica a este periódico Jon
Cortázar, director ejecutivo del estudio de desarrollo español Relevo. El
desarrollador apunta, además, que el realismo se persigue especialmente en
determinados géneros dentro del videojuego: «El usuario, además, es lo que
demanda en muchos casos. Por ejemplo, que en 'FIFA' el jugador sude y que la
camiseta se le llene de barro. Con los juegos de coches pasa lo mismo, se
tienen que romper y ensuciar. En títulos de corte bélico ya no te quiero ni
contar, los jugadores son de los que se denominan 'hardcore gamers' y suelen
ser de los más exigentes con la calidad gráfica».
Efectivamente, el caso de 'Arma 3' no es anecdótico. Hace
apenas unos días miles de vietnamitas fueron estafados por un grupo de
cibercriminales, que les mostraba a través de YouTube partidos del popular
título de fútbol 'FIFA 23' haciéndolos pasar por encuentros reales del Mundial
de Qatar. Los usuarios llegaban a la plataforma tentados por la posibilidad de
ver los enfrentamientos de forma gratuita; mientras tanto, los delincuentes
buscaban generar dinero gracias a la afluencia de público en el sitio propiedad
de Google. En algunos momentos de los directos llegaron a contar con 40.000
personas con los ojos pegados a la pantalla.
Durante los últimos años, expertos en ciberseguridad han
alertado en numerosas ocasiones sobre los peligros detrás del desarrollo de la
inteligencia artificial. Y no solo en lo que se refiere a la alteración de
imagen de vídeo, como ocurrió en el caso de Zelenski. A finales de 2019 un
grupo cibercriminal consiguió estafar 220.000 euros a una empresa británica.
Para conseguirlo, utilizó un software destinado a alterar la voz del dirigente
de la compañía, quien le pidió a un subalterno que realizase el movimiento de
dinero. En 2020, la clonación de voz mediante IA también fue empleada en el
robo de 35 millones de dólares a un banco Hong Kong. El delincuente, en este
caso, se hizo pasar a través de una llamada telefónica por un cliente de la
entidad. «Los 'deepfakes' han avanzado con pasos de gigante. Hace unos años
todavía dejaban algo que desear, pero se ha mejorado mucho y ahora son cada vez
más realistas. Además, no hace falta saber nada de informática para generarlos,
hay multitud de programas en Internet para hacerlo», señala a este diario David
Sancho, jefe de análisis de amenazas en la empresa de ciberseguridad Trend
Micro.
Imagen y texto de la nada
El experto dice que «la IA se está empleando cada vez
más» en el desarrollo de ciberataques, y remarca que «con los algoritmos de hoy
en día» prácticamente todo es posible: «Si tienes suficiente audio, voz y vídeo
de la persona a la que quieres hacerle el 'deepfake', se consiguen cosas muy
pero que muy convincentes. Hasta a los profesionales de la informática pueden
hacernos dudar». A lo largo de 2022, empresas dedicadas a trabajar con
inteligencia artificial han puesto al alcance de cualquiera, además, nuevas
herramientas capaces de crear contenido realista, prácticamente, desde la nada.
«Aunque al principio estos sistemas generaban texto o imágenes que no eran de
mucha calidad, hemos observado una rápida progresión», dice a ABC Josep Curto,
experto en IA y profesor de Informática en la Universidad Oberta de Cataluña.
Entre las más potentes se encuentran DALL-E 2 y ChatGPT,
dos herramientas desarrolladas por OpenAI. Con la primera, el usuario puede
crear imágenes realistas simplemente introduciendo una breve descripción del
resultado que quiere obtener. Basta con escribir 'manifestante ucraniano en las
calles de Moscú', y en segundos es capaz de crear varias imágenes diferentes,
algunas bastante logradas. La segunda es una IA conversacional, una suerte de chatbot
que responde al usuario cuando le plantea una pregunta. Sin embargo, en este
caso las respuestas que se ofrecen pueden llegar a ser tremendamente humanas.
Casi parece que al otro lado no haya una máquina, sino una persona.
Precisamente, el pasado verano un ingeniero de Google fue suspendido por la
tecnológica después de afirmar que la inteligencia artificial del buscador,
llamada LaMDA, era un ser «consciente» y «sensible». Incluso llegó a comparar
al ingenio con un niño pequeño.
Todos los expertos en ciberseguridad consultados alertan
sobre el riesgo de que este tipo de soluciones sigan popularizándose y terminen
siendo explotadas por terceros maliciosos. En lo que se refiere a la generación
de imágenes, para desinformar a los usuarios, los software conversacionales,
mientras tanto, tienen un gran potencial en el desarrollo de estafas por correo
electrónico y redes sociales.
«Las campañas creadas usando chatbots que son capaces de
mantener conversaciones con el objeto de recabar información personal de
usuarios ya existen», señala José Luis Palletti, ingeniero de ventas de la
empresa de ciberseguridad Watchguard. Sancho, por su parte, remarca el potencial
que tienen las inteligencias artificiales conversacionales en 'scams', esas
estafas románticas destinadas a robar dinero a los usuarios en las que, a
través de correo, los criminales se hacen pasar por alguien que, realmente, no
existe. Y tampoco hay herramientas capaces de detectar la trampa. Ni consejos
para evitar caer en ella. «Hasta la fecha no hay ningún software que te diga
sin género de dudas que algo ha sido creado por una IA», dice Sancho.