Estos últimos años, las empresas se acostumbraron a que el principal riesgo digital ingresara vía emails maliciosos o engañosos: la puerta de entrada del phishing y de muchas amenazas más. Pero hoy el panorama está en otro nivel: el de la industrialización de las identidades fraudulentas hiperrealistas.
La IA generativa hoy le facilita a los ciberdelincuentes clonar voces, duplicar rostros y falsificar identidades corporativas con precisión milimétrica. Esto se conoce como "deepfake", un riesgo que apunta directamente a desestabilizar la certeza de saber exactamente con quién estamos interactuando del otro lado de la pantalla.
El hackeo al factor humano: cuando el blanco son los procesos frágiles
La evolución de estas tácticas pasa por la velocidad y la escala con la que se ejecutan. Organismos internacionales como Europol y el FBI vienen advirtiendo desde hace rato sobre el uso criminal de deepfakes para comprometer procesos de negocio complejos y suplantar la identidad de altos cargos jerárquicos.
Y no estamos hablando de imitaciones improvisadas. Hace tiempo se pueden observar esquemas donde los atacantes "copian" la voz de un director financiero o de un proveedor estratégico en llamadas telefónicas. Si además se las combina con emails donde se suplanta la identidad de la persona, esto se convierte en una técnica de altísima efectividad que permite vulnerar credenciales corporativas y sistemas de homebanking.
En el ámbito financiero, los reportes globales de ciberseguridad confirman que los deepfakes impulsados por IA se han convertido en una amenaza común para las transacciones y la seguridad corporativa. El objetivo final que tienen los atacantes ya no es acceder a un sistema por la fuerza, sino engañar al eslabón humano dentro de un proceso frágil.
Un empleado puede recibir, por ejemplo, un email o un mensaje de voz de su jefe dando la orden de hacer una transferencia urgente. Y la barrera del fraude se reduce a la validación digital de quien emite la orden. Lo que hacen los delincuentes es explotar la urgencia y la presión corporativa para limitar el tiempo que tienen las víctimas para analizar la veracidad de las órdenes recibidas. Y este patrón de manipulación paraliza la capacidad de reacción de los equipos.
Diseñar la resiliencia
Frente a este panorama, el error más frecuente que suelen cometer los directivos es pensar que solo con un software de detección aislado, o un antivirus tradicional, la empresa queda protegida. La realidad demuestra que la tecnología por sí sola es insuficiente si los procesos internos siguen siendo débiles.
Es necesario tener clara una premisa estratégica fundamental: la identidad es el nuevo perímetro. Si los atacantes pueden falsificar rostros y voces con funciones simples de la IA, la seguridad operativa de un negocio ya no puede depender de un único canal de comunicación.
Para contrarrestar la escala de este tipo de fraudes, las empresas tienen que migrar obligatoriamente de un enfoque reactivo a un diseño de entornos preparados para la contingencia. Esto implica implementar tres medidas estructurales de forma urgente:
Primero, la gestión estricta de accesos mediante autenticación multifactor (MFA) en todos los sistemas.
Segundo, el endurecimiento de los procesos sensibles: ninguna orden de pago, transferencia o modificación debería validarse por una sola persona o un solo canal.
Por último, concientización: la capacitación corporativa tiene que abandonar los enfoques teóricos para centrarse en simulacros prácticos basados en escenarios reales, entrenando al personal para detectar comportamientos anómalos bajo presión.
Las nuevas reglas de resiliencia operativa
La IA ha bajado drásticamente la barrera de entrada para el cibercrimen, facilitando el despliegue de campañas fraudulentas masivas muy sofisticadas.
En un mercado empresarial donde la confianza es el activo más costoso de construir y el más frágil ante un incidente, la resiliencia no se mide por el presupuesto invertido, sino por la madurez de gobernanza y la solidez de los procesos. En la era de las amenazas potenciadas con IA, fortalecer los controles internos es la única regla de supervivencia operativa.
Seguí a El Economista en Google
Agreganos a tus medios preferidos.
+ Agregar
