A principios de febrero pasado, se reveló que un empleado del área financiera de una multinacional con sede en Hong Kong transfirió $25 millones a estafadores que emplearon la tecnología deepfake. Esta tecnología utiliza inteligencia artificial (IA) para manipular textos, imágenes, videos y audios al punto de no distinguir lo real de lo falso.
El empleado fue engañado para participar en una videollamada con lo que pensaba eran otros miembros de su equipo, pero resultaron ser recreaciones falsas. Como consecuencia, accedió a transferir la suma solicitada bajo los motivos que le fueron explicados.
Los deepfakes han tomado protagonismo en la actualidad, notorios por vídeos que muestran a celebridades y políticos en situaciones falsificadas, perjudicando su reputación.
En enero de 2024, la imagen de Taylor Swift se utilizó para crear vídeos falsos promocionando un sorteo de la marca de ollas Le Creuset. Ese mismo mes, deepfakes pornográficos de la cantante se volvieron virales en las redes sociales.
Celebridades de alto perfil, desde Elon Musk hasta Warren Buffet, Barack Obama y Donald Trump, han sido víctimas de deepfakes. A finales de 2023, Tom Hanks denunció la circulación de un video falso en el que el actor “publicitaba” un plan dental, y MrBeast alertó sobre un anuncio falso en TikTok, donde decía que regalaría iPhones 15 a cambio de solo $2..
El impacto de los deepfakes es tan real e imperceptible que se encienden las alarmas en el ámbito empresarial. Con el lanzamiento de Sora, la IA que genera vídeos a partir de texto desarrollada por OpenAI, ya ni siquiera hay que ser experto en tecnología o ciberdelincuente para poner a cualquier ejecutivo a decir o hacer cualquier cosa.
Este fenómeno representa una amenaza no solo para la seguridad informática de las empresas, sino también para la reputación de las firmas, empleados y directores, con múltiples consecuencias.
Según el Centro de Operaciones de Seguridad (SOC) de Appgate, en el último año ha aumentado un 74% el número de casos asociados a infracciones de copyright (derechos de autor)y fraudes relacionados con la facilidad de acceso y uso de herramientas generativas. David López, vicepresidente de ventas para Estados Unidos y Latinoamérica de Appgate, destaca la creciente credibilidad de los engaños.
Un informe reciente de KPMG sobre IA generativa señala la advertencia del FBI sobre el Compromiso de Identidad Empresarial (BIC), que utiliza técnicas avanzadas de generación y manipulación de contenido para crear personas sintéticas basadas en empleados reales.
Este vector emergente podría tener importantes impactos financieros y de reputación para las empresas, sin embargo el reporte destaca que poco y nada se está haciendo para protegerse de esta amenaza..
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, destaca que la concienciación sobre este tema es gradual, ya que hasta ahora no se han masificado estafas a partir de estas tecnologías, principalmente debido a la efectividad de métodos más simples como el phishing.
Además, se hace necesario que la legislación avance en un marco legal específico pero la normativa suele ir por detrás de la tecnología.
Más reales que nunca
Los deepfakes son idóneos para estafas. El objetivo es obtener dinero o acceder a datos confidenciales de la empresa mediante contenido audiovisual falso. También existen los readfakes, textos falsificados que imitan el estilo de escritura y redacción de ejecutivos, generando correos electrónicos de phishing que instruyen a los empleados a seguir enlaces fraudulentos, revelar contraseñas o enviar datos sensibles.
Pero además, la reputación de las marcas comerciales está en juego, especialmente si se utilizan deepfakes para difundir información falsa o engañosa sobre la compañía o sus productos.
Federico Tandeter, director gerente de Seguridad en Accenture HSA, destaca cómo los ciberdelincuentes utilizan el nombre o la imagen de la marca para obtener información personal o financiera, lo que puede llevar a la pérdida de confianza del público y la disminución de las ventas.
Riesgo reputacional
La exposición pública de un deepfake puede tener repercusiones negativas para la reputación corporativa, afectando a directores ejecutivos, fundadores y portavoces, sin importar el tamaño de la organización.
“Puede afectar la credibilidad de la empresa e impactar inclusive en el valor de mercado, es sabido cómo la opinión de ciertos líderes corporativos en redes sociales puede generar reacciones en el comportamiento de accionistas”, resalta Juan Marino, gerente de estrategia de ventas de ciberseguridad de Cisco.
Otra posibilidad es que un ex empleado descontento, un cliente disconforme o un competidor desleal busque desinformar valiéndose de deepfakes para compartir noticias, opiniones falsas y hasta actividades delictivas.
Para prevenir y evitar ser comprometido por un deepfake, es crucial contar con un equipo multidisciplinario que incluya expertos en tecnología, seguridad cibernética, ética y políticas públicas, agrega Federico Tandeter, de Accenture HSA.
Sin embargo, muchas empresas carecen de un plan de respuesta ante incidentes, donde un manejo adecuado de la comunicación interna y externa es fundamental. “Podríamos decir que hay que combatir una deepfake con una deeptruth (verdad profunda)”, reflexiona Juan Marino, de Cisco.
Educación digital
La prevención de fraudes y la protección de la reputación son responsabilidades no solo de los equipos de seguridad, sino de cada individuo dentro de la organización. Cada empleado debe estar equipado con el conocimiento necesario para identificar y responder a estos riesgos, afirma Martín Rabaglia, director general de Genosha.
Rabaglia destaca cómo la inteligencia artificial se utilizó para simular una entrevista con el futbolista Kun Agüero, alterando su voz e imagen para promocionar un juego online.
También subraya que este incidente muestra el desafío que enfrentan las plataformas de redes sociales en prevenir el abuso de deepfakes y en la forma en que monetizan el contenido. Con una simple verificación de reconocimiento de rostro se puede detectar bien fácil que un aviso contiene un famoso, detalla.
Empresas como Meta o Cloudflare ya cuentan con mecanismos para denunciar contenido abusivo como deepfakes.