Como todos sabemos las plataformas para buscar empleo como  LinkedIN e Infojobs, están muy concurridas.

Debido a que los usuarios comparten datos personales en estos servicios, como el nombre, el correo electrónico, para qué empresa trabajan o sus imágenes de perfil, los ciberdeliencuentes han encontrado en estas plataformas el blanco perfecto para perpetrar sus ataques.

Estos están dirigidos tanto a las empresas que buscan cubrir sus puestos de empleo disponibles, a través de técnicas como el ‘deepfake’, como a los propios trabajadores, que acaban siendo víctimas de ‘phishing’ por parte de cuentas empresariales presuntamente legítimos.

Uno de los casos más recientes es el del grupo de cibercriminales conocido como Lazarus, atribuido a la principal agencia de inteligencia de Corea del Norte, que utiliza este tipo de redes sociales para generar un primer contacto con sus víctimas.

Su ‘modus operandi’ a la hora de recopilar datos se ajusta al que llevan a cabo otras agrupaciones de piratas informáticos con el objetivo de engañar a personas que buscan empleo a través de plataformas de búsqueda de trabajo.

En primer lugar, estos ciberdelincuentes realizan un estudio sobre el perfil objetivo para conocer, entre otros factores, sus intereses, los entornos en los que se mueven, sus contactos o la empresa en la que trabajan, entre otros detalles.

A continuación, los atacantes llevan a cabo una aproximación a medida, esto es, personalizan el primer contacto con sus víctimas en función de sus intereses con el objetivo de ganarse su confianza. Una vez lo han conseguido, aprovechan este contacto con los solicitantes de empleo para enviar ‘malware’ o código dañino a sus víctimas.

Estos ataques de ‘phishing’ pueden incluir archivos o enlaces destinados a hacerse con el control total o parcial de sus dispositivos. El despliegue de este ‘software’ malicioso y de herramientas de acceso remoto (RAT, por sus siglas en inglés) son dos de los métodos más utilizados por los ciberdelincuentes para espiar y monitorear los equipos infectados.

De ese modo, no solo pueden acceder a los datos de sus víctimas, robarlos y compartirlos, sino que también tienen acceso a contraseñas y credenciales para otros servicios, como cuentas bancarias o carteras digitales.

LA TECNOLOGÍA ‘DEEPFAKE’ AL SERVICIO DEL TRABAJO EN REMOTO

Esta no es la única estrategia empleada por los ciberdelincuentes en el ámbito laboral, ya que en los últimos años se han popularizado las tecnologías de ‘deepfake’, que permiten modificar el aspecto o la voz de personas en imágenes o vídeos.

Esto es posible gracias a tecnologías basadas en Inteligencia Artificial (IA), mediante las cuales los estafadores pueden hacer parecer que ciertos individuos han hecho o dicho cosas fuera de la realidad y crear vídeos con imágenes de los candidatos para hacerlos pasar por personas reales.

El auge del ‘deepfake’ se debe, principalmente, a la implementación de nuevos entornos de trabajo en remoto, una decisión tomada por gran parte de las empresas a nivel mundial tras el inicio de la pandemia. En este contexto, algunas organizaciones se vieron en la obligación de optar por un nuevo formato virtual para la captación de candidatos.

De ese modo, tuvieron que realizar entrevistas de trabajo por videollamadas, a fin de proteger la salud de sus empleados. De ese modo, los impostores utilizan vídeos, imágenes, grabaciones e identidades robadas de usuarios legítimos y se hacen pasar por otras personas para obtener un puesto de trabajo en remoto.

Una vez contratados y dentro del organigrama de una empresa, tienen acceso las claves y credenciales de la empresa, así como documentos personales que pueden utilizar para su beneficio propio, como para perpetrar chantajes o sacar algún otro tipo de rédito económico.

En este sentido, la compañía de ciberseguridad se pueden diferenciar dos tipos de ataques con ‘deepfakes’: los ‘deepface’ (que se realizan a través de imágenes y vídeos) y los ‘deepvoice’ (a través de audios y voces grabadas).

Ambos métodos se apoyan en el denominado aprendizaje profundo (‘deep learning’), un campo concreto de la IA que se fundamenta en el funcionamiento del sistema neurológico humano, y en las bases de datos públicas globales, que contienen imágenes, vídeos y audios.

En primer lugar, el ‘deepface’ consiste en crear imágenes y vídeos que imitan objetos o rostros de personas reales gracias a las redes neuronales generativas antagónicas (GANs, por sus siglas en inglés).

Estas GANs son un tipo de algoritmo de IA capaz de generar fotografías que parecen auténticas ante el ojo humano. Por su parte, los cibercriminales emplean el ‘deepvoice’ para replicar la voz de una persona real a partir de sus fragmentos de audio, un formato que, según la firma de ciberseguridad Panda Security ya sido utilizado para suplantar a consejeros delegados de «grandes empresas».

Con todo, gracias al ‘deepfake’ los ciberdelincuentes pueden eludir sistemas de defensa robustos y extendidos en la actualidad, como la seguridad biométrica, que verifica la identidad de un sujeto en base al reconocimiento de su iris o huella dactilar.

CÓMO DETECTAR UN POSIBLE CASO DE ‘DEEPFAKE’

A pesar de que los estafadores emplean técnicas cada vez más refinadas para perpetrar estos ataques en compañías e instituciones de diversa índole, existen ciertas variables que permiten detectar posibles casos de ‘deepfake’.

A las empresas o personas con proyección pública, Panda Security recomienda llevar una monitorización diaria de sus redes sociales, con el objetivo de controlar cualquier contenido susceptible de viralizarse que pueda perjudicar su reputación.

En relación a las entrevistas de trabajo, es aconsejable que las empresas tengan en cuenta detalles como la posible brusquedad de la postura de la persona o el parpadeo, que pueden desvelar si se trata de un falso candidato.

Otro aspecto a tener en cuenta durante estos encuentros virtuales es el brillo, si este cambia con el paso de un fotograma a otro y el modo en que se refleja en la tonalidad de la piel.

El tono de la voz de una persona también puede ser un buen indicativo de que se está empleando ‘deepfake’, en el caso de que se conozca la voz del candidato previamente. En caso contrario, también se debe comprobar que lo que el entrevistado responde es coherente con el discurso que que tiende a proyectar.

Con Portaltic