Ferrari se salvó de un gran ciberataque planeado con IA en WhatsApp, con esta simple pregunta

En algunos casos los ciberataques no se resuelven por medio de sistemas complejos, sino gracias al sentido común. Un ejemplo de esto fue lo que sucedió recientemente con Ferrari, que fue víctima de un intento de ataque con deepfake en WhatsApp, en el que suplantaban la identidad de su CEO, Benedetto Vigna, mediante inteligencia artificial. Pero una pregunta sencilla evitó un desastre financiero.

Este intento de ataque se realizó por medio de WhatsApp y el objetivo era otro directivo de la compañía de autos, quien frenó el avance de esta amenaza haciendo una pregunta que solamente la persona real podía contestar.

Así fue el ciberataque a Ferrari

Todo comenzó una mañana de martes, cuando un ejecutivo de la compañía italiana empezó a recibir una serie de mensajes inusuales en su WhatsApp. Los mensajes parecían provenir de Benedetto Vigna, CEO de Ferrari, y hablaban de una importante adquisición que la empresa estaba planeando. “Oye, ¿has oído lo de la nueva adquisición que estamos planificando? Podría necesitar tu ayuda”, decía uno de los mensajes.

A pesar de que los mensajes parecían legítimos a primera vista, había detalles que no cuadraban. Para empezar, los mensajes no procedían del número habitual de Vigna, y aunque la foto de perfil mostraba al CEO con gafas y traje frente al logotipo de Ferrari, no era la que usualmente utilizaba.

Los mensajes continuaron con un tono de urgencia y confidencialidad. “Prepárate para firmar el acuerdo de confidencialidad que nuestro abogado está a punto de enviarte”, indicaba otro mensaje. “El regulador del mercado italiano y la bolsa de Milán ya han sido informados. Mantente alerta y por favor discreción máxima”.

Para tratar de continuar con el engaño, el estafador explicó que el número no era el habitual del CEO porque el acuerdo era demasiado confidencial y podría haber obstáculos en China. Según la historia, esto podría requerir una operación de cobertura de divisas no especificada.

El siguiente paso del estafador fue aún más audaz. Decidió realizar una llamada telefónica utilizando tecnología de deepfake de voz, que imitaba a la perfección el acento sureño de Vigna. La voz era sorprendentemente convincente, pero el directivo comenzó a sospechar debido a ligeras entonaciones mecánicas en la voz del interlocutor.

El supuesto CEO mencionó que llamaba desde un número diferente porque necesitaba discutir algo confidencial. Habló de un acuerdo que podría enfrentarse a problemas relacionados con China y que requería una transacción de cobertura de divisas.

A pesar de la calidad del deepfake, el directivo de Ferrari decidió verificar la identidad del supuesto CEO con una pregunta que solo Vigna podría responder. “Disculpa, Benedetto, pero necesito identificarte”, dijo el directivo. Le preguntó cuál era el título del libro que Vigna le había recomendado recientemente. De repente, la llamada se cortó.

El peligro de los deepfakes

Tras este intento de estafa, Ferrari inició una investigación interna. Los representantes de la compañía en Maranello, Italia, se negaron a comentar sobre el incidente. Sin embargo, este evento subraya la creciente sofisticación de las técnicas utilizadas por los ciberdelincuentes y la importancia de estar constantemente alerta.

Este no es un caso aislado de uso de deepfakes para cometer fraudes. En mayo, se informó que Mark Read, CEO de WPP Plc, también fue objetivo de una estafa similar en la que se intentó suplantarlo en una llamada de Teams. Aunque el intento fue fallido, demuestra que los ciberdelincuentes están perfeccionando estas técnicas.

No obstante, algunas empresas sí han caído víctimas de estos fraudes. A principios de año, una multinacional no identificada perdió 200 millones de dólares hongkoneses (aproximadamente 26 millones de dólares) después de que estafadores engañaron a sus empleados en Hong Kong utilizando tecnología de deepfake. Los estafadores fabricaron representaciones del director financiero de la empresa y otras personas en una videollamada, y convencieron a la víctima de transferir dinero.

Empresas como la firma de seguridad informática CyberArk ya están entrenando a sus ejecutivos para detectar cuándo están siendo estafados por bots. La clave es estar alerta a los detalles más sutiles y ser escéptico ante cualquier situación que parezca inusual o demasiado urgente.