“Desconfía de órdenes urgentes”: instrucción a los militares para no caer en ‘deepfakes’
- ¿Qué son los deepfakes? Una amenaza real
- ¿Cómo los deepfakes ponen en peligro a militares?
- Señales de alerta clave contra los deepfakes
- ¿Cómo reaccionar ante un deepfake?
- El ciberespacio: nueva guerra para los ejércitos
- El Mando Conjunto del Ciberespacio y la defensa
- Casos reales de ciberataques en las Fuerzas Armadas
¿Qué son los deepfakes? Una amenaza real
El Instituto Nacional de Ciberseguridad (INCIBE) define los ‘deepfakes’ como “vídeos manipulados para hacer creer a los usuarios que ven a una determinada persona, tanto si es anónima como si es personaje público, realizando declaraciones o acciones que nunca ocurrieron. Para la creación de dichos vídeos, se utilizan herramientas o programas dotados de tecnología de inteligencia artificial que permiten el intercambio de rostros en imágenes y la modificación de la voz”.
Algunos de esos vídeos manipulados son claramente identificables, mientras que otros, para determinado público, pueden parecer fiables y no despertar sospechas.
Estas estrategias se usan con todo tipo de fines: engatusar a personas con vídeos falsos de personajes como el rey Felipe VI, Pablo Motos y David Broncano para que piquen en estafas de inversión; robar datos a clientes de bancos; y difundir desinformación y propaganda por motivos políticos e incluso bélicos, en el caso de guerras como la de Ucrania.
¿Cómo los deepfakes ponen en peligro a militares?
Estos ‘deepfakes’ preocupan al Mando Conjunto del Ciberespacio. Esta unidad, que forma parte de la estructura del Estado Mayor de la Defensa, es responsable del planeamiento, dirección, coordinación, control y ejecución de las operaciones en o a través del ciberespacio de interés para la Defensa Nacional.
Su misión es tratar de asegurar la libertad de acción de las Fuerzas Armadas en el dominio ciberespacial, previniendo y respondiendo ante amenazas o agresiones que puedan afectar a la Defensa Nacional o a las redes y sistemas críticos de las Fuerzas Armadas.
Ayuda a prevenir y responder de forma eficaz y eficiente a los ciberataques y a enfrentar de forma activa las ciberamenazas.
El Mando Conjunto del Ciberespacio tiene entre sus misiones contribuir a concienciar a todos los miembros de las Fuerzas Armadas de la necesidad de tomar precauciones para no ser víctimas de ciberataques.
Para ello, envía con frecuencia informes y alertas con avisos sobre campañas de hackers que están en cursos, y con consejos de ciberseguridad.
Confidencial Digital ha comprobado que entre militares circula estos días un aviso del Mando Conjunto del Ciberespacio alertando sobre ‘deepfakes’.
Este órgano de la estructura conjunta (de Tierra, Armada y Aire) de las Fuerzas Armadas ha difundido entre militares un “Boletín de Concienciación” que trata sobre “Deepfakes: cuando la imagen y la voz mienten”.
El boletín consiste en una página con cinco apartados para identificar y reaccionar ante estas campañas, que pueden ser dirigidas concretamente hacia miembros de un ejército por parte de una potencia hostil.
“¿Qué son y por qué son un riesgo?”. El Mando Conjunto del Ciberespacio explica a los militares que “los deepfakes y deepvoices usan IA para suplantar rostros y voces”.
Indica que esas voces, vídeos y fotos falsas pueden emplearse con varios objetivos: diseminar órdenes falsas, manipular información y cometer fraudes o desinformación.
“No todo lo que ves u oyes es real”, es la idea que en el Mando Conjunto del Ciberespacio trata de inculcar a los miembros de las Fuerzas Armadas con el envío de este boletín de concienciación.
Señales de alerta clave contra los deepfakes
La clave principal ante este problema es la detección. El aviso a los militares desgrana unas “señales de alerta” que deben interiorizar para no picar.
La instrucción del Mando Conjunto del Ciberespacio señala que deben sospechar si detectan:
-- Órdenes urgentes o fuera de procedimiento.
-- Peticiones que evitan canales reglamentarios.
-- Fallos en voz, gestos o sincronización.
-- Solicitudes de credenciales o accesos.
El peligro para un ejército parece apuntar a que sus militares resulten víctimas de un engaño de este tipo y realicen acciones indebidas o revelen información sensible.
“La urgencia forzada es una técnica de ataque”, advierte el boletín de concienciación sobre ‘deepfakes’, que también explica que estas campañas de manipulación se sustentan en tres elementos: la urgencia y presión temporal ya citadas (tratan de asustar al receptor para que rápidamente haga algo), la “autoridad aparente” y el exceso de confianza de la víctima.
El objetivo del aviso es, entonces, inculcar a los miembros de las Fuerzas Armadas estas señales de alerta, para que se les encienda una alarma en su cabeza si de pronto reciben esas órdenes urgentes, fuera de los canales reglamentarios.
Especialmente crítico puede ser que, engañado, un militar revele a quien no debe “credenciales o accesos”, es decir, por ejemplo contraseñas para acceder a sistemas informáticos militares. Ese error puede abrir la puerta a un robo de datos de militares, a la extracción de información sensible o clasificada, o a mayores facilidades para ejecutar un ciberataque contra redes del Ministerio de Defensa y de los ejércitos.
¿Cómo reaccionar ante un deepfake?
Si gracias a esos consejos un militar sospecha que una llamada, un mensaje, puede ser realmente un ‘deepfake’, ¿cómo debe reaccionar?
La instrucción del Mando Conjunto del Ciberespacio es que, antes de tomar cualquier decisión, realice un procedimiento de verificación en tres pasos:
-- “Verifica por canal alternativo oficial”.
-- “Confirma identidad, legitimidad y contexto”.
-- “Informa y consulta a tu cadena de mando”, es decir, a los superiores en cada unidad, centro u organismo del Ministerio de Defensa y las Fuerzas Armadas.
La alerta enviada a los militares les anima a ser prudentes: “Verificar es seguridad”. Y traslada la idea de que “la disciplina también es digital”.
Tras verificar, confirmar e informar, un militar que haya detectado, o que sospeche que ha detectado, un ‘deepfake’, debe seguir tres pasos:
-- “No interactúes”.Lo que quiere decir que no responda, bien hablando por teléfono si es una llamada, bien contestando al correo electrónico o mensaje de WhatsApp, Telegram... si le ha llegado por alguna de esas vías.
-- “Bloquea el contenido”.
-- “Reporta de inmediato”, comunicando lo sucedido al Mando Conjunto del Ciberespacio a través de la dirección de correo incidentesMCCE@mde.es.
El ciberespacio: nueva guerra para los ejércitos
El ciberespacio se considera ya un dominio más de las operaciones militares, como los entornos terrestre, marítimo y aéreo.
Los países y ejércitos se enfrentan en ese ciberespacio. Unos intentan extraer información de las redes de los otros, sabotear sus sistemas, y en general producir daños en la capacidad militar del enemigo.
Si las administraciones públicas reciben cada año miles y miles de ciberataques y de intentos de intrusión, el Ministerio de Defensa es uno de los más atacados dentro de la Administración General del Estado.
La mayoría de ciberataques se evitan con cierta facilidad, pero hay otros graves, e incluso críticos, que ponen a prueba las defensas.
El Mando Conjunto del Ciberespacio y la defensa
El Ministerio de Defensa lleva años potenciando sobre todo el Mando Conjunto del Ciberespacio, ubicado en la base de Retamares (Pozuelo de Alarcón, al oeste de Madrid). Ha ido aumentando presupuesto y personal, y así va a seguir, hasta el punto de que prepara la construcción de nuevos edificios para acoger al personal, que es tanto militar como también civil.
<iframe width="560" height="315" src="https://www.youtube.com/embed/w7iuEEjaLYU?si=Cb1-o2xFqvPl0GDO" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
En esas tareas de protección de la información participa también el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC), integrado en la estructura del Ministerio de Defensa.
Aumentar el personal especializado, fichar expertos civiles y gastar en programas y tecnología no es suficiente, porque, especialmente en el ámbito ciberespacial, cada militar, incluso cada funcionario civil, está en “primera línea de batalla”.
Basta con que un soldado reciba en el ordenador de su oficina un correo electrónico, lo abra y pinche en un enlace malicioso para que un pirata informático pueda colarse en la red informática militar.
De ahí que el Mando Conjunto del Ciberespacio, y también el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones, tratan de concienciar a todos los miembros de las Fuerzas Armadas de que deben estar alertas y tomar precauciones.
Casos reales de ciberataques en las Fuerzas Armadas
Eso explica que se envíen alertas y boletines de concienciación, que en los edificios de los acuartelamientos haya carteles que recuerdan consejos básicos de ciberseguridad, que se facilite la denuncia interna de correos electrónicos sospechosos, y también que en ocasiones se ponga a prueba esa conciencia con “mensajes trampa”, como ocurrió una vez con un correo sobre una falsa subida de sueldo a los militares.
Aún con todas las precauciones, se han producido episodios sonados. Mediante phising, alguien logró las credenciales del perfil oficial del Estado Mayor de la Defensa en Instagram, y al comienzo de la invasión rusa de Ucrania en 2022 publicó fotos de una mujer joven con poca ropa.
Mayor inquietud provocó la noticia de que en la ‘dark web’ se vendían datos de los 120.000 militares españoles, supuestamente por un robo de información a una empresa privada que realiza chequeos médicos.