La amenaza de los deepfake ya está aquí: es hora de empezar a incorporarla en la gestión de riesgos empresariales

Por Phil Muncaster • 5 Septiembre 2023

Cuando el defensor de los derechos del consumidor del Reino Unido, Martin Lewis, recurrió a las redes sociales para promover un nuevo plan de inversión de 'IA cuántica', muchos se sorprendieron por la medida. Después de todo, Lewis se había ganado la confianza del público durante muchos años al negarse a respaldar proyectos comerciales de cualquier tipo. De hecho, el anuncio de vídeo en el que aparece Lewis resultó ser un deepfake. La calidad del retrato fue calificada de “aterradora” para el propio hombre, quien advirtió que tales falsificaciones podrían “arruinar vidas”.

Eso es indudablemente cierto. Pero cuando se utiliza maliciosamente, la tecnología no sólo presenta una amenaza de fraude para los consumidores, sino que plantea un enorme riesgo financiero y de reputación para las empresas. Es un riesgo que un sólido sistema de gestión de seguridad de la información (SGSI) podría ayudar a mitigar.

¿Qué es la tecnología Deepfake?

Los deepfakes utilizan un tipo de tecnología de inteligencia artificial conocida como aprendizaje profundo para crear videos y audios falsos de personas que son difíciles de distinguir del contenido genuino. Se puede utilizar para sintetizar el habla y manipular eficazmente las expresiones faciales para que parezca que un individuo está diciendo algo que no está diciendo. Si bien existen usos legítimos para esta tecnología, por ejemplo, en la industria cinematográfica, se utiliza cada vez más con fines malignos.

El vídeo falso de Martin Lewis es una de las primeras veces que se utiliza un vídeo de esa manera para promover el fraude en inversiones. Sin embargo, el audio deepfake existe desde hace algunos años y se utiliza para engañar a los destinatarios para que transfieran fondos a cuentas pertenecientes a estafadores. Esta técnica engañó a un británico. CEO para creer un audio falso de su jefe alemán diciéndole que transfiera más de 240,000 dólares a una cuenta de terceros. y eso engañó a un gerente japonés hacerle creer que el director de su empresa matriz había solicitado una transferencia de 35 millones de dólares.

¿Cuáles son las amenazas potenciales?

Los casos anteriores son una especie de riff de la estafa de compromiso de correo electrónico empresarial (BEC), un tipo de fraude de pago por adelantado en el que el estafador engaña a las víctimas para que realicen grandes transferencias a estas últimas. Sin embargo, hay otras amenazas emergentes para las empresas. Éstas incluyen:

Supercarga de tácticas de phishing: Un audio o vídeo deepfake de una entidad confiable dentro de la empresa, por ejemplo el jefe de TI o una unidad de negocios, podría engañar a la víctima para que entregue sus credenciales o información comercial confidencial. El FBI tiene ya advertido empleados de audio deepfake utilizado junto con plataformas de videoconferencia.

Solicite fraudulentamente trabajos remotos: El FBI tiene también advertido de deepfakes utilizados con información personal robada para Ayude a los estafadores a conseguir trabajos de trabajo remoto. El acceso a la red corporativa podría utilizarse para robar información confidencial de clientes y empresas.

Eludir los controles de identidad: El reconocimiento facial o de voz es una forma cada vez más popular para que las organizaciones autentiquen a los usuarios, especialmente a los clientes. Como lo detalla Europol, se podrían implementar deepfakes para engañar a estos sistemas para que proporcionen acceso a la cuenta. Aunque esto no es una amenaza directa a la seguridad empresarial, podría afectar seriamente el riesgo financiero y de reputación.

Estafar a los clientes directamente: Como sostiene el asesor jefe de seguridad de Tanium, Timothy Morris, los deepfakes de audio podrían usarse como seguimiento de las campañas de smishing (texto de phishing), donde se les pide a los clientes que llamen a un número si no reconocen un cargo específico en su cuenta.

"Si llama, un amigable deepfake que representa a su banco está esperando para tomar sus credenciales y su dinero", explica a ISMS.online. "Métodos similares pueden utilizar deepfakes para soporte técnico y estafas románticas".

Difundir desinformación sobre la empresa: Por ejemplo, una empresa podría querer impactar las ventas y el precio de las acciones de su rival publicando un video falso de un director ejecutivo que afirma que los productos de su empresa son defectuosos.

"La circulación de contenido deepfake destinado a difamar a organizaciones o personal clave puede causar un daño sustancial a la reputación", dice a ISMS.online el director ejecutivo de Incode, Ricardo Amper. "Al manipular la percepción pública, los deepfakes pueden tener implicaciones sociales de gran alcance, impactando la percepción del mercado, la confianza de los clientes e incluso los entornos políticos".

¿Cómo puede ayudar un SGSI?

Afortunadamente, hay cosas que las organizaciones pueden hacer de forma sistemática para mitigar los riesgos que plantean los deepfakes, según Eze Adighibe, consultor ISO de Bulletproof.

“Los deepfakes están asociados con varios riesgos cibernéticos que un sistema eficaz de gestión de seguridad de la información (SGSI), a través de un marco de cumplimiento como ISO 27001, puede ayudar a mitigar. Ejemplos de estos riesgos incluyen ataques de ingeniería social, estafas, robo de identidad, perfiles falsos y desinformación automatizada”, le dice a ISMS.online.

“Un SGSI requiere una evaluación integral evaluación de riesgos de seguridad de la información con un análisis de impacto y la selección de controles para tratar los riesgos identificados. Por lo tanto, las organizaciones deberían considerar incluir deepfakes en sus actividades de evaluación de riesgos considerando la amenaza que representan hoy”.

Específicamente, un SGSI puede ayudar a mitigar el riesgo de deepfake en tres áreas, según Adighibe:

Sensibilizar a los empleados sobre los riesgos relacionados con los deepfakes
Implementar los controles técnicos adecuados para detectar y prevenir deepfakes.
Desarrollar procedimientos de gestión/respuesta a incidentes para hacer frente a ataques deepfake

Explica que los controles enumerados en ISO 27001 que podrían ayudar aquí son la capacitación en concientización sobre seguridad/simulaciones de phishing, controles de acceso sólidos y herramientas de monitoreo de seguridad. Otros cubren la privacidad y protección de la PII, la eliminación de información, informes de eventos de seguridad e inteligencia de amenazas.

"Las organizaciones bien versadas en mitigar las amenazas emergentes ya tendrán medidas para hacer frente a los deepfakes, pero ya es hora de que todas las empresas, independientemente de su tamaño, hagan un balance de los riesgos e implementen los controles de seguridad adecuados", Oliver Pinson, director ejecutivo de Defense.com. Roxburgh le dice a ISMS.online.

El esta en lo correcto. El audio/vídeo deepfake no sólo es cada vez más realista. Se está volviendo más asequible para más personas con intenciones nefastas. Allá también son signos que estas capacidades se ofrecen como un servicio en el mundo del cibercrimen. Esa es una forma segura de democratizarlo ante actores aún más maliciosos.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 3 December 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Ha tardado mucho en llegar. Tras haber sido objeto de reflexión desde el Discurso del Rey en 2024, el Proyecto de Ley de Ciberseguridad y Resiliencia (CSRB) ha llegado a su fin...

Phil Muncaster

La seguridad cibernética 18 November 2025

En lo que respecta a la tecnología operativa, la visibilidad es la base de una seguridad eficaz.

En lo que respecta a la tecnología operativa (TO), la visibilidad es la base de una seguridad eficaz.

La tecnología de la información (TI) suele acaparar los titulares, sobre todo ahora que nos adentramos en una nueva era donde la IA lo impulsa todo. Pero es la tecnología operativa (TO) la que aún...

Phil Muncaster

La seguridad cibernética 11 November 2025

Lo que la saga de Deloitte Australia revela sobre los riesgos de gestionar la IA

La IA generativa (GenAI) ha alcanzado cotas altísimas de expectación en el sector desde su irrupción a finales de 2022. Ahora está entrando en lo que Gartner denomina...

Phil Muncaster

La amenaza de los deepfake ya está aquí: es hora de empezar a incorporarla en la gestión de riesgos empresariales

¿Qué es la tecnología Deepfake?

¿Cuáles son las amenazas potenciales?

¿Cómo puede ayudar un SGSI?

Phil Muncaster

Artículos relacionados

IO nombrado líder de G2 Grid® en gobernanza, riesgo y cumplimiento para el invierno de 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Presentamos una nueva navegación mejorada: una forma más rápida y limpia de trabajar en IO

Lea más de Phil Muncaster

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

En lo que respecta a la tecnología operativa (TO), la visibilidad es la base de una seguridad eficaz.

Lo que la saga de Deloitte Australia revela sobre los riesgos de gestionar la IA