Deepfakes en el mundo corporativo

La llegada de la Inteligencia Artificial (IA) generativa ha cambiado el juego. Lo que antes eran simples curiosidades tecnológicas, hoy se han convertido en herramientas peligrosamente eficaces: los deepfakes han dejado de ser una rareza para volverse protagonistas en el fraude digital y la suplantación de identidad. ¿Pero qué son realmente los deepfakes y por qué debemos prestarles atención?

Los deepfakes son contenidos audiovisuales creados o alterados por IA, capaces de replicar con asombroso realismo la voz, apariencia y hasta los gestos de una persona. Su evolución ha sido meteórica: ahora, cualquier persona con acceso a herramientas comerciales puede producir videos o audios que parecen auténticos, democratizando el riesgo y ampliando el alcance de los ataques digitales.

Un caso reciente en 2024 puso el problema sobre la mesa: un empleado de una reconocida empresa transfirió sumas importantes de dinero tras asistir a una videollamada con supuestos directivos generados por deepfake. Este ejemplo ilustra cómo la tecnología puede facilitar fraudes de alto impacto, incluso cuando quienes atacan no disponen de grandes recursos.

El uso de deepfakes va más allá de fraudes puntuales. Hoy se emplean para suplantar directivos, manipular reputaciones y difundir desinformación con el objetivo de influir en decisiones estratégicas. El vishing –llamadas fraudulentas reforzadas por IA– añade una capa de credibilidad, haciendo que la familiaridad percibida suplante los controles formales. La confianza, ese elemento intangible pero vital en la era digital, se vuelve así un blanco vulnerable.

La verdadera amenaza de los deepfakes está en su capacidad para erosionar la autenticidad. Cuando resulta difícil distinguir entre lo real y lo artificial, los mecanismos tradicionales de autenticación humana pierden fuerza. La identidad digital deja de ser intuitiva y pasa a requerir controles y validaciones adicionales. Esto afecta a personas y a organizaciones, impactando la reputación, la toma de decisiones y la fiabilidad de los procesos digitales.

Las campañas de suplantación han evolucionado hacia modelos personalizados. La automatización permite escalar ataques sin perder realismo, y los mensajes pueden replicar el lenguaje corporativo con precisión. Un atacante puede analizar comunicaciones públicas y recrear el tono exacto de un directivo, normalizando solicitudes excepcionales y reduciendo la percepción de riesgo. En ocasiones, basta con la presión del “lo necesito ya” para que una persona realice acciones sin cuestionar la autenticidad del mensaje.

El daño reputacional y la manipulación de decisiones son riesgos latentes. La difusión de contenidos falsos en momentos clave –fusiones, crisis, decisiones regulatorias– puede generar incertidumbre y erosionar la confianza tanto interna como externa. Aunque existen herramientas para detectar deepfakes, su eficacia es limitada; la tecnología avanza a un ritmo tal que la detección automática no siempre es fiable, obligando a complementar con verificación y formación.

Más allá de los desafíos técnicos, surgen interrogantes legales y regulatorios. ¿Cómo proteger la identidad, la privacidad y la responsabilidad ante la difusión de contenidos manipulados? Las empresas deberán demostrar diligencia en la protección de identidades digitales, especialmente en sectores regulados donde la autenticidad de la información es crítica.

Por fortuna, hay una clave: la seguridad conductual. La sofisticación de los ataques está desplazando el foco desde la tecnología hacia el comportamiento humano. El factor humano es el principal vector de ataque. No por desconocimiento, sino porque los atacantes explotan sistemáticamente la presión contextual y la urgencia para inducir acciones legítimas que generan impacto real. El error, muchas veces, no es técnico, sino conductual.

La combinación de deepfakes, vishing y campañas de suplantación personalizada ha dado lugar a una nueva generación de ingeniería social. Los atacantes buscan reproducir contextos de confianza y autoridad, aprovechando señales que hasta hace poco considerábamos fiables. Por eso, ante solicitudes excepcionales –transferencias, cambios de cuenta, acceso a información sensible–, la verificación por doble canal (correo y llamada, por ejemplo) se vuelve indispensable.

En un intento de fraude reciente, la operación no prosperó porque el destinatario desconfiaba del canal y realizó una verificación interna antes de ejecutar ninguna instrucción. Este contraste independiente bloqueó la maniobra, demostrando que los hábitos de verificación pueden ser más efectivos que cualquier sistema automatizado.

La protección de la identidad digital se consolida como una tendencia clave para la ciberseguridad. No basta con incorporar nuevas tecnologías; necesitamos un enfoque integral que combine capacidades técnicas, análisis de comportamiento y gobernanza. La identidad digital debe entenderse como un activo crítico del negocio, cuya protección afecta la continuidad operativa, la reputación y la confianza de clientes y socios.