La inteligencia artificial (IA) ha revolucionado la manera en que las empresas operan, permitiendo la automatización de tareas repetitivas, optimizando costos y mejorando la eficiencia. Su impacto se extiende desde la atención al cliente hasta el desarrollo de software y la gestión de datos, facilitando así la toma de decisiones estratégicas. A medida que estas tecnologías avanzan, su adopción en el mundo corporativo sigue en aumento. De acuerdo con una encuesta de Gartner realizada en octubre de 2023, el 55% de las organizaciones ya estaban explorando o implementando soluciones de IA generativa, un porcentaje que, sin duda, ha crecido con el tiempo.

​

No obstante, el auge de la inteligencia artificial no solo ha beneficiado a las empresas legítimas, sino también a las organizaciones criminales, que han encontrado en estas herramientas un nuevo aliado para perfeccionar sus tácticas fraudulentas. Esta evolución plantea un desafío crítico para líderes de tecnología y negocios, quienes deben reforzar sus estrategias de ciberseguridad. Para combatir eficazmente esta amenaza, es esencial una respuesta integral basada en tres pilares fundamentales: las personas, los procesos y la tecnología. Solo con un enfoque estructurado y proactivo será posible mitigar los riesgos y aprovechar el verdadero potencial de la IA de manera segura y ética.

​

¿Cuáles son las últimas amenazas de IA y deepfake?

De acuerdo a lo publicado por Phil Muncaster, 14 Mar 2025, en el portal welivesecurity by ESET;

Los ciberdelincuentes están aprovechando el poder de la IA y los deepfakes de varias maneras. Entre ellas se incluyen:

​

*️⃣ Empleados falsos: Según informes, cientos de empresas han sido infiltradas por norcoreanos que se hacen pasar por autónomos de TI que trabajan a distancia, en plataformas de freelancers como Upwork o Fiverr.  

 

*️⃣ Utilizan herramientas de IA para compilar currículos y documentos que puedan servirles para la falsa postulación, lo que incluye imágenes manipuladas por IA. Una vez infiltrada la organización objetivo final es ganar dinero para enviarlo al régimen norcoreano, así como el robo de datos, el espionaje e incluso el despliegue de ransomware.

​

*️⃣ Una nueva clase de estafas BEC: Se están utilizando clips de audio y vídeo deepfake para amplificar fraudes del tipo "business email compromise" (BEC) en los que se engaña a trabajadores financieros para que transfieran fondos corporativos a cuentas bajo control del estafador. En un reciente caso tristemente célebre, se convenció a un empleado de finanzas para que transfiriera 25 millones de dólares a unos estafadores que se valieron de deepfakes para hacerse pasar por el director financiero de la empresa y otros miembros del personal en una videoconferencia. Sin embargo, esto no es en absoluto nuevo: ya en 2019, un ejecutivo de energía del Reino Unido fue engañado para transferir £ 200,000 a estafadores después de hablar con una versión deepfake de su jefe por teléfono.

​

*️⃣ Eludir la autenticación: Los deepfakes también se están utilizando para ayudar a los estafadores a hacerse pasar por clientes legítimos, crear nuevos personajes y eludir los controles de autenticación para la creación de cuentas y el inicio de sesión. Un malware especialmente sofisticado, GoldPickaxe, está diseñado para recopilar datos de reconocimiento facial, que luego se utilizan para crear vídeos deepfake. Según un informe, el 13,5% de todas las aperturas de cuentas digitales en el mundo fueron sospechosas de actividad fraudulenta el año pasado.

​

*️⃣ Estafas deepfake: Los ciberdelincuentes también pueden usar deepfakes de maneras menos específicas, como hacerse pasar por CEO de empresas y otras figuras de alto perfil en las redes sociales, para promover inversiones y otras estafas. Como ha demostrado Jake Moore de ESET, teóricamente cualquier líder corporativo podría ser víctima de la misma manera. En una nota similar, como describe el último Threat Report de ESET, los cibercriminales están aprovechando deepfakes y publicaciones en redes sociales con la marca de la empresa para atraer a las víctimas como parte de un nuevo tipo de fraude de inversión llamado Nomani.

​

*️⃣ Descifrado de contraseñas: Los algoritmos de IA pueden ponerse a trabajar para descifrar las contraseñas de clientes y empleados, lo que permite el robo de datos, el ransomware y el fraude masivo de identidad. Uno de estos ejemplos, PassGAN, puede descifrar contraseñas en menos de medio minuto.

​

*️⃣ Falsificación de documentos: Los documentos generados o alterados por IA son otra forma de eludir los controles de conocimiento del cliente (KYC, Know Your Client) en bancos y otras empresas. También pueden utilizarse para el fraude de seguros. Casi todos los gestores de siniestros (94%) sospechan que al menos el 5% de los siniestros se manipulan con IA, especialmente los de menor cuantía.

 

*️⃣ Phishing y reconocimiento: El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha advertido del auge que los ciberdelincuentes están obteniendo de la IA generativa y de otros tipos. Afirmó a principios de 2024 que la tecnología "aumentará casi con toda seguridad el volumen y agudizará el impacto de los ciberataques en los próximos dos años", y que tendrá un impacto especialmente elevado en la mejora de la eficacia de la ingeniería social y el reconocimiento de objetivos. Esto impulsará el ransomware y el robo de datos, así como los ataques de phishing de gran alcance contra los clientes.

 

¿Cuál es el impacto de las amenazas de IA?

El impacto del fraude posibilitado por la IA es, en última instancia, un daño financiero y reputacional de diversos grados. Un informe estima que el 38% de los ingresos perdidos por fraude durante el año pasado se debieron a fraudes impulsados por IA. Es necesario resaltar el impacto de estos fraudes:

 

🛑 Eludir el control de los clientes permite a los estafadores acumular créditos y vaciar de fondos las cuentas de clientes legítimos.

 

🛑 Infiltrar en la organización a falsos empleados, facilita el robo de información sensible de IP y de clientes regulados, creando dolores de cabeza financieros, de reputación y de cumplimiento.

 

🛑Las estafas BEC pueden generar enormes pérdidas puntuales. Esta categoría hizo que los ciberdelincuentes ganaran más de 2.900 millones de dólares solo en 2023.

 

🛑 Las estafas de suplantación de identidad amenazan la lealtad de los clientes. Un tercio de los clientes afirman que se alejarán de una marca que aman después de una sola mala experiencia.
 

🛑 Lucha contra el fraude basado en IA
 

La lucha contra este aumento del fraude posibilitado por la IA requiere una respuesta a varios niveles, centrada en las personas, los procesos y la tecnología. Esto debería incluir:

 

✅ Evaluaciones frecuentes del riesgo de fraude

​

✅ Actualización de las políticas antifraude para adaptarlas a la IA

 

✅ Programas integrales de formación y concienciación para el personal (por ejemplo, sobre cómo detectar el phishing y las falsificaciones profundas)

 

✅ Programas de formación y concienciación para los clientes

​

 

✅ Activación de la autenticación multifactor (AMF) para todas las cuentas corporativas y clientes sensibles

 

✅ Mejora de la comprobación de los antecedentes de los empleados, por ejemplo, analizando los currículos en busca de incoherencias profesionales

 

✅ Mejora de la colaboración entre los equipos de RRHH y ciberseguridad

La tecnología de IA también puede utilizarse en esta lucha, por ejemplo:

 

✅ Herramientas potenciadas por IA para detectar deepfakes (por ejemplo, en comprobaciones KYC).

 

✅ Algoritmos de aprendizaje automático para detectar patrones de comportamiento sospechoso en los datos del personal y de los clientes.

 

✅ GenAI para generar datos sintéticos con los que desarrollar, probar y entrenar nuevos modelos de fraude.

​

“A medida que la batalla entre la IA maliciosa y la benévola entra en una nueva e intensa fase, las organizaciones deben actualizar sus políticas de ciberseguridad y antifraude para garantizar que siguen el ritmo de la evolución del panorama de amenazas. Con tanto en juego, no hacerlo podría afectar a la lealtad del cliente a largo plazo, al valor de la marca e incluso hacer descarrilar iniciativas de transformación digital.
La IA tiene el potencial de cambiar las reglas del juego para nuestros adversarios. Pero también puede hacerlo para los equipos de seguridad y riesgos de las empresas.”