Palma de la cara: La problemática empresa de gestión de contraseñas LastPass está nuevamente bajo ataque por ciberdelincuentes desconocidos que intentan vulnerar sus sistemas. Los piratas informáticos están utilizando tácticas novedosas que implican algoritmos de inteligencia artificial, voces clonadas e ingeniería social.
Los malos actores atacaron a un empleado de LastPass con mensajes falsos de WhatsApp, llegando incluso a crear un audio deepfake del director ejecutivo de la empresa, Karim Toubba. Este gemelo digital, que según LastPass probablemente se creó con inteligencia artificial, mostró una urgencia forzada que generalmente viene con los intentos tradicionales de ingeniería social.
LastPass explicó que el empleado anónimo recibió varias llamadas, mensajes de texto y «al menos» un audio deepfake de una cuenta falsa de Toubba. El intento de comunicación se realizó fuera de los canales comerciales tradicionales y el empleado fue lo suficientemente sensato como para ignorar las solicitudes e informar el incidente al equipo de seguridad interno.
El equipo de seguridad manejó el intento de intrusión, aunque no tuvo ningún impacto real en la empresa. LastPass compartió públicamente el incidente para crear conciencia sobre las nuevas tácticas de ingeniería social que emplean contenido deepfake. Lo que antes sólo estaba disponible para los actores de amenazas de los Estados-nación ahora está cada vez más disponible para los ciberdelincuentes «comunes» y los guionistas. Las campañas de fraude que aprovechan la suplantación de roles ejecutivos ya no son tan raras.
Los deepfakes de audio han mejorado en calidad y la tecnología basada en inteligencia artificial necesaria para crearlos ahora es común, gracias a numerosas aplicaciones y sitios web que incluso un principiante puede usar. LastPass señaló varios incidentes de alto perfil descubiertos recientemente, en los que las empresas fueron víctimas de Convincente Falsificaciones generadas por IA que los empujaron a transferir dinero a estafadores.
Los informes de deepfakes de audio o vídeo muy sofisticados son raros, pero las cosas podrían empeorar a medida que la IA evolucione y mejore. Los recientes incidentes falsos que involucraron a la Casa Blanca obligaron a la FCC a intervenir. Mientras tanto, las empresas de tecnología han acordado proactivamente luchar Contenido generado por IA para evitar interrupciones significativas en las elecciones presidenciales de EE. UU. de 2024.
El intento de suplantación de identidad contra LastPass no es el primero de su tipo, pero ciertamente plantea un problema sobre cómo los ciberdelincuentes perciben ahora a la empresa. Ultimo pase sufrió varios fallos de seguridad importantes en los últimos años, mientras que los estafadores han intentado explotar el nombre de la empresa con aplicaciones falsas diseñadas para robar datos de los usuarios. LastPass dijo que está trabajando estrechamente con sus socios para compartir inteligencia y estar «un paso por delante» de los ciberdelincuentes.