Mucha gente está preocupada por la posibilidad de competir con la IA por sus puestos de trabajo, pero probablemente esto no sea lo que esperaban. El FBI advirtió sobre un aumento en los casos en los que se utilizan “falsificaciones profundas” e información personal robada para solicitar puestos de trabajo en los EE. UU., incluida la falsificación de entrevistas en video. No desempolve el Prueba de Voight-Kampff todavía, sin embargo.
El cambio al trabajo remoto es una gran noticia para muchas personas, pero como cualquier otro cambio en los métodos y expectativas, también es un nuevo campo de juego para los estafadores. Los estándares de seguridad se están actualizando, los reclutadores se están adaptando y, por supuesto, el mercado laboral es lo suficientemente salvaje como para que las empresas de contratación y los solicitantes intenten moverse más rápido que nunca.
En medio de estos cambios en curso, anuncio de servicio público del FBI de hoy advierte que los deepfakes se están empleando una vez más con fines nefastos, en este caso, imitando a personas cuyas identidades han sido robadas para solicitar puestos de trabajo:
Las quejas informan sobre el uso de suplantación de identidad de voz, o posiblemente falsificaciones profundas de voz, durante las entrevistas en línea de los posibles solicitantes. En estas entrevistas, las acciones y el movimiento de los labios de la persona entrevistada frente a la cámara no se coordinan completamente con el audio de la persona que habla. A veces, acciones como toser, estornudar u otras acciones auditivas no están alineadas con lo que se presenta visualmente.
Puede imaginar el proceso de principio a fin: a un ciudadano estadounidense le roban su licencia, nombre, dirección y otra información importante en algún hackeo o fuga de base de datos. Una falsificación profunda puede ser creada por casi cualquier persona que tenga una buena foto o dos de una persona y se use para grabar un video falso del objetivo hablando, o incluso hacerlo en vivo (con resultados mixtos, como hemos visto). Combinado con datos de aplicaciones aparentemente legítimos, esto podría ser suficiente para que un gerente de contratación apresurado firme un nuevo contratista.
¿Por qué? Hay numerosos motivos. Tal vez el hacker no pueda trabajar en los EE. UU. pero quiera que le paguen en dólares. Tal vez quieran acceder a los datos visibles solo para los empleados de esa empresa. Tal vez sea solo una prueba para desarrollar herramientas para hacer esto a mayor escala y obtener un caché aún mayor de datos comercializables. Como escribe el FBI: “… algunas posiciones reportadas incluyen acceso a PII de clientes, datos financieros, bases de datos de TI corporativas y/o información patentada”.
Incluso podría ser una operación de inteligencia o financiación de un estado-nación; Se ha observado que Corea del Norte utiliza credenciales falsificadas para conseguir empleos en EE. UU., especialmente en el sector de las criptomonedas, donde se pueden realizar enormes robos con pocas repercusiones.
No es la primera vez que se reportan este tipo de cosas. Las anécdotas de empleados y compañeros de trabajo falsos han existido durante años y, por supuesto, trabajar con una identidad falsa es uno de los trucos más antiguos del libro. El giro aquí es el uso de imágenes impulsadas por IA para superar el proceso de la entrevista.
Afortunadamente, la calidad no es especialmente convincente… por ahora. Si bien los deepfakes se han vuelto notablemente buenos en algunos aspectos, están muy lejos de lo real y los humanos son extremadamente buenos para detectar tales cosas. Tener 10 segundos de video ininterrumpido que no provoque algún tipo de estrechez de ojos por parte del espectador ya es bastante difícil: media hora de conversación en vivo parece imposible con las herramientas actuales, suponiendo que el entrevistador esté prestando atención.
Es decepcionante que el FBI no haya incluido ninguna de las mejores prácticas obvias para evitar este tipo de estafa, pero sí señala que las verificaciones de antecedentes han identificado PII robada, y las personas han informado que su identidad, dirección, correo electrónico, etc. se utilizan sin su conocimiento.
Y el hecho es que no hay mucho que nadie pueda hacer al respecto. Alguien cuya identidad ha sido robada solo puede permanecer alerta y estar atento a cosas sospechosas como correos electrónicos y llamadas extraños. Es poco probable que las pequeñas empresas sean objetivo porque no tienen mucho valor además de los salarios. Es probable que las empresas tengan procesos de contratación bastante engorrosos que implican la verificación de antecedentes tradicional.
En todo caso, son quizás las empresas emergentes y las empresas SaaS las que corren mayor riesgo: potencialmente muchos datos o acceso a ellos, pero comparativamente poca infraestructura de seguridad en comparación con las empresas a las que sirven o que intentan desplazar. Eso también se aplica a contratarlos para mejorar su seguridad: ¡las nuevas empresas son pirateadas constantemente! Parece ser un rito de iniciación.
Probablemente sea demasiado pedir a los entrevistados que retengan el periódico de hoy (es poco probable que alguien que solicite un trabajo remoto en TI reciba uno), pero si está contratando en un sector potencialmente de alto riesgo como seguridad, tecnología de la salud y similares, tal vez sea un poco más cuidadoso. Utilice un cifrado sólido, controles de acceso modernos y escuche a los profesionales de la seguridad. No digas que el FBI no te advirtió.
Source link