>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2025-10-25-Desenmascarando Deepfakes con Threat Intelligence caf3b23650a6821cbfcf810e98e82b42.md
Última modificación: 25-10-2025
Etiquetas: #CCN-CERT25

Desenmascarando Deepfakes con Threat Intelligence

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/anna-angulo

Contexto: Charla sobre deepfakes, casos reales de fraude y una propuesta de tres pilares para defenderse: concienciación, herramientas de detección e inteligencia de amenazas.

Contexto general

La ponente (Ana) arranca con un caso real de Ferrari donde intentaron colar un deepfake de voz del CEO para sacar pasta. El empleado pilló el engaño porque le preguntó por un libro que supuestamente le había recomendado días antes, y el impostor no tenía ni idea. La charla va de cómo los deepfakes ya no son ciencia ficción, están aquí y se usan para fraude, desinformación, ciberacoso y espionaje. La clave: necesitamos un enfoque mixto para combatirlos.

Conceptos clave

  • Timeline de deepfakes: Ya en 2019 había referencias claras, pero el boom real es ahora (2024-2025)
    • Europol estima que en 2026 el 90% del contenido online será sintético
  • Casos de uso maliciosos:
    • Fraude y extorsión (transacciones de dinero, hacerse pasar por ejecutivos)
    • Desinformación y propaganda (especialmente en elecciones)
    • Cyberbullying y daño a la reputación
    • Manipulación de evidencias judiciales
    • Espionaje corporativo (no solo robar dinero, también información sensible)
  • Tipos principales de deepfakes:
    • Lip-sync: Cambian solo la boca para cambiar el mensaje, pero sigues siendo tú
    • Face swap: Cambio total de cara, ya te están suplantando directamente
    • Voice cloning: Solo audio, como el caso Ferrari. Con 10 minutos de audio ya puedes clonar una voz de forma convincente
    • Cuando juntas voz + vídeo la cosa se complica bastante más
  • Cómo detectarlos (aunque cada vez es más difícil):
    • Reflejo de luz en los ojos
    • Bordes de la cara borrosos
    • Dientes mal renderizados
    • Microexpresiones raras
    • En voz: delays mecánicos, ruido de fondo extraño, entonación poco natural
    • Lo más loco: movimiento del corazón y respiración como indicadores

Desarrollo técnico

El problema de fondo es que esto evoluciona constantemente. Lo que hoy sirve para detectar un deepfake, mañana ya no funciona porque los modelos mejoran. Por eso la propuesta de Ana es no confiar solo en herramientas automáticas, que aunque son necesarias, tienen gaps que hay que cubrir con inteligencia de amenazas.

La idea es usar Threat Intelligence para monitorizar proactivamente:

  • Actores y foros donde se crean deepfakes (quién, cómo, para qué)
  • Datos de entrenamiento: cuanto más contenido público hay de alguien (ejecutivos, políticos), mejor deepfake se puede hacer
  • Distribución: canales de Telegram, mercados, bots que te hacen un deepfake en 30 segundos
  • Correlación de eventos: cruzar menciones en darkweb con noticias y eventos reales (elecciones, por ejemplo) para anticipar campañas de desinformación

Ejemplo concreto: en foros rusos hay mucho interés en bypass biométrico y bypass de sistemas KYC. Se discute qué métodos de detección funcionan mejor o peor, cuánto tiempo lleva crear un deepfake convincente, etc. Si monitorizas esto, puedes adelantarte.

Herramientas y comandos mencionados

  • Deepfake Studio → App móvil con más de 1 millón de descargas para crear deepfakes fácilmente
  • Bots de Telegram → Servicios automatizados que generan deepfakes en segundos, con soporte vía Discord
  • Mercados darkweb → Venta de servicios de deepfake, a menudo especializados en bypass de verificaciones
  • Sistemas de monitorización → El producto que menciona permite crear timelines, buscar posts por palabras clave en foros, correlacionar eventos

Propuesta: tres pilares para combatir deepfakes

  1. Concienciación: Básicamente entrenar a la gente para que pare y piense antes de actuar. La frase mágica es "necesito identificarte". Si alguien te pide algo sensible (firma, transferencia), pregunta algo que solo esa persona sabría (como el libro en el caso Ferrari). Coste-beneficio, sigue siendo lo más efectivo.
  2. Herramientas de detección: Automatizar todo lo posible, pero siendo conscientes de que hay fallos. Un 94% de detección suena bien, pero ese 6% que se cuela puede ser crítico.
  3. Inteligencia de amenazas: Cubrir los gaps de los otros dos pilares. Monitorizar actores, herramientas, tendencias, y sobre todo prevenir en vez de solo reaccionar. Aquí es donde entra el tema de correlacionar eventos y adelantarse a campañas coordinadas.

Conclusión

Los deepfakes ya no son un problema teórico, están en producción y cualquiera puede ser objetivo. No se trata solo de robar dinero, también de robar información sensible porque confías en quien crees que está al otro lado. La clave está en no confiar en una sola capa de defensa: necesitas concienciación + detección + inteligencia trabajando juntas. Y sobre todo, hay que ser proactivo, sentarse a planificar y priorizar amenazas (threat modeling).

La inteligencia te permite ver patrones que no verías solo con herramientas automáticas: qué se cocina en foros, qué servicios nuevos aparecen, cómo se correlacionan eventos en darkweb con noticias reales. Eso es lo que marca la diferencia.

Más

  • Profundizar en threat modeling aplicado específicamente a deepfakes
  • Investigar herramientas de detección actuales y sus tasas reales de éxito
  • Ver ejemplos de correlación de eventos (elecciones, crisis corporativas) con actividad en darkweb
  • Entender mejor cómo funcionan los sistemas de bypass biométrico y KYC que se discuten en foros

<< cd ..

>_