Hace menos de un mes se conoció que un empleado del área de finanzas de una multinacional ubicada en Hong Kong le pagó US$25 millones a estafadores que utilizaron tecnología “deepfake” -contenido que utiliza IA para manipular textos, imágenes, videos y audios al punto de no distinguir entre lo real y lo falso.- En la elaborada estafa, el trabajador fue engañado para que asistiera a la videollamada con quienes asumía eran otros miembros de su equipo, pero todos ellos eran en realidad recreaciones ultra falsas. Como resultado, accedió a transferir la suma pedida bajo los motivos que le fueron explicados.

Los deepfakes (“aprendizaje profundo” y “falso” en inglés) protagonizan estos días la agenda de la inteligencia artificial. Entre otras cosas, se hicieron famosos por videos en los que estrellas y políticos dicen, muestran cosas o bien protagonizan situaciones falsificadas que dañan su reputación.

El renacimiento de la publicidad exterior: de la calle a la pantalla (y viceversa)

En enero de 2024, la imagen de Taylor Swift se utilizó para crear videos falsos que promocionaban un sorteo de la marca de ollas Le Creuset. Ese mismo mes, los deepfakes pornográficos de la cantante se volvieron virales en las redes sociales. Otras celebridades de alto perfil han sido víctimas de creaciones deepfake, desde Elon Musk a Warren Buffet pasando por Barack Obama y Donald Trump. Hacia fines de 2023, Tom Hanks denunció a través de su cuenta de Instagram que circulaba un video falso donde el actor “publicitaba” un plan dental. MrBeast, uno de los youtubers más famosos del mundo, alertó que en TikTok se podía ver un anuncio con una versión falsa suya generada donde decía que regalaría iPhones 15 a cambio de solo dos dólares.

El impacto de los deepfakes es tan real e imperceptible que se encienden las alarmas para los negocios. Con el reciente lanzamiento de Sora -la IA que puede generar vídeos a partir de texto creada por OpenAI, la misma compañía que desarrolló ChatGPT- ya ni siquiera hay que ser experto en tecnología o ciberdelincuente para poner a cualquier ejecutivo a decir o hacer cualquier cosa. Se trata de una amenaza que no sólo afecta a la seguridad informática de las empresas sino también la reputación de las propias firmas, empleados y CEO con múltiples consecuencias.

De hecho, de acuerdo al Centro de Operaciones de Seguridad (SOC) de Appgate, en el último año aumentó un 74% el número de casos asociados a infracciones de copyright y fraudes “relacionados a la facilidad con la que cualquier persona puede acceder y hacer uso de herramientas generativas porque aumentan la credibilidad de los engaños”, comenta David López, vicepresidente de ventas US/Latinoamérica de Appgate.

En un reciente informe de KPMG sobre IA generativa a 300 ejecutivos de múltiples industrias y geografías se señala que el FBI advierte sobre lo que denomina “Compromiso de Identidad Empresaria” (BIC), que aprovecha técnicas avanzadas de generación y manipulación de contenido para crear personas sintéticas basadas en empleados existentes. Este vector emergente podría tener importantes impactos financieros y de reputación para las empresas, sin embargo el reporte destaca que poco y nada se está haciendo para protegerse de esta amenaza.

La “red social sensación” que pierde terreno y revive un impotante debate sobre los límites de la publicidad

Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, explica que la concientización sobre el tema es gradual. Hasta ahora no se han masificado estafas o engaños a partir de estas nuevas tecnologías, básicamente porque siguen siendo muy efectivos métodos de engaño mucho más simples como el phishing. Además, se hace necesario que la legislación avance en un marco legal específico pero la normativa suele ir por detrás de la tecnología”.

Los deepfakes son especialmente adecuados para todo tipo de estafas. El objetivo es obtener dinero o acceder a datos confidenciales de la empresa valiéndose de contenido audiovisual falso. También existen los llamados “readfakes” o textos falsificados que imitan el estilo de escritura y la redacción de ejecutivos. El resultado es, por ejemplo, correos electrónicos de phishing que instruyen a los empleados a seguir enlaces fraudulentos, revelar contraseñas o enviar datos sensibles.

Pero además, la reputación de las marcas comerciales está en juego, especialmente si se utilizan deepfakes para difundir información falsa o engañosa sobre la compañía o sus productos. “Los ciberdelincuentes utilizan el nombre o la imagen de la marca para engañar a las personas y obtener información personal o financiera. En todos los casos, lo que puede suceder es la pérdida de confianza del público y la disminución de las ventas”, explica Federico Tandeter, Managing Director de Seguridad en Accenture HSA.

Con la capacidad de replicar la imagen de personalidades conocidas asociadas con una marca, los falsificadores pueden crear videos que promocionan productos populares como iPhones, consolas de juegos o batería de cocina. Vale destacar que las empresas podrían verse envueltas involuntariamente en batallas legales por estos motivos, lo que extiende el debate hacia cuestiones sobre consentimiento, derechos de propiedad intelectual y el uso ético de la tecnología de inteligencia artificial.

En lo que refiere a empresas, la exposición pública de un deepfake puede tener repercusiones negativas para la reputación corporativa en su totalidad: directores ejecutivos, fundadores y portavoces están bajo posible amenaza sin importar el tamaño o la envergadura de una organización.Por ejemplo, un video en el que un director ejecutivo corporativo (aparentemente) hace declaraciones polarizadoras sobre temas delicados tiene serias consecuencias, incluso si un departamento de relaciones públicas reacciona rápidamente y niega la autenticidad del contenido. “Puede afectar la credibilidad de la empresa e impactar inclusive en el valor de mercado, es sabido cómo la opinión de ciertos líderes corporativos en redes sociales puede generar disparadas en el comportamiento de accionistas”, resalta Juan Marino, Cybersecurity Sales Strategy Manager de Cisco.

Otra posibilidad es que un ex empleado descontento, un cliente disconforme o un competidor desleal busque desinformar valiéndose de deepfakes para compartir noticias, opiniones falsas y hasta actividades delictivas. Los anuncios que afirman erróneamente próximos despidos, cambios importantes en los productos, nuevas políticas extremas o incluso el cierre de empresas son fáciles de producir y con probados efectos negativos.

Los deepfakes son el complemento perfecto para “la bolsa de herramientas del ciberdelincuente corporativo”. “Lo que más debe preocupar a las organizaciones es el uso que le están dando a los delincuentes como una herramienta más, o un vehículo más, para concretar estafas. Hasta hace poco tiempo veíamos cómo el fraude online se producía a través de ejercicios de phishing o las llamadas telefónicas falsas. Ahora, la combinación de todos estos factores hace que todo el argumento que elabora el delincuente para tratar de engañar a una víctima sea más convincente”, apunta Gaspar Poca, Partner BTR Consulting.

La “red social sensación” que pierde terreno y revive un impotante debate sobre los límites de la publicidad

Desde ESET aseguran que en términos de seguridad de la información tres principios básicos deberían garantizar que la información esté segura: disponibilidad, integridad y confidencialidad. “Este último, hace referencia a que a una pieza de información solamente pueda acceder aquella persona que tiene los permisos para hacerlo; y es en este aspecto donde ataques como los deepfakes pueden comprometer”, aclara Gutierrez Amaya. quien agrega que además también se podría ver afectado el principio de “no repudio”, es decir que una pieza de información pueda asociarse de forma inequívoca con quien la generó.

En un entorno empresarial donde la credibilidad y la integridad son fundamentales, la amenaza que representan los deepfakes exige inmediatez y vigilancia constante.

En lo operativo, se pueden introducir procedimientos de autenticación multinivel para transferencias o revelaciones de datos que queden claros para todos los empleados .

Para prevenir y evitar verse comprometido por un deepfake -agrega Tandeter- es importante contar con un equipo que tenga un enfoque multidisciplinario e involucre expertos en tecnología, seguridad cibernética, ética y políticas públicas. “Un grupo que esté alerta y realice constantemente y de forma sostenida tareas de mantenimiento actualizado del software y pruebas de seguridad”, señala.

Según Marino, las organizaciones más maduras pueden considerar herramientas que permiten monitorear actividades en redes sociales o canales de mensajería para detectar la circulación de contenido falso. “Sobre todo advertir tempranamente riesgos de campañas difamatorias o de phishing. No obstante, muchas empresas sufren por no tener un plan de respuesta ante incidentes. Uno de los pilares es un manejo adecuado de la comunicación interna y externa. Podríamos decir que hay que combatir una deepfake con una deeptruth”, reflexiona.

De hecho, frente al ataque público con un deepfake demostrar de forma rápida y concluyente que el contenido es falso es la mejor manera de evitar daños a la reputación. “Las empresas deben trabajar en desarrollar planes de continuidad del negocio, en los cuales se mapean los diferentes escenarios que pueden afectar la operación del negocio y los mecanismos para enfrentarlos. Estos escenarios incluyen los casos de deepfakes, por ahora quizá con una posibilidad de ocurrencia baja pero con una valoración de impacto alta”, apuntan desde ESET.

Señales de estanflación: la suba de precios acelera los cambios de hábitos de los consumidores

En general, todas las medidas de ciberseguridad implementadas por los desarrolladores, deben ir de la mano de la concientización de las personas. “La prevención de fraudes y la protección de la reputación no son sólo responsabilidad de los equipos de seguridad, sino de cada individuo dentro de la organización. Cada empleado debe estar equipado con el conocimiento necesario para identificar y responder a estos riesgos”, afirma Martín Rabaglia, CEO de Genosha.

“De la misma que se pone en duda si una imagen está modificada, deben surgir los mismos planteamientos hacia otro tipo de contenidos audiovisuales” -sugiere Gutiérrez Amaya- y agrega: “Hoy más que nunca, pensar antes de hacer clic y verificar aquellos que estamos viendo se hace indispensable”.

Rabaglia comenta cómo se utilizó IA al servicio para simular una entrevista con el futbolista Kun Aguero, alterando su voz e imagen para promocionar un juego online. “Este incidente también muestra el desafío que enfrentan las plataformas de redes sociales. Su responsabilidad es doble: deben ser diligentes en prevenir el abuso de deepfakes, pero también en la forma en que monetizan el contenido. Con una simple verificación de reconocimiento de rostro se puede detectar bien fácil que un aviso contiene un famoso”, detalla.

Frente a los usos indebidos de esta tecnología, se requiere un esfuerzo concertado tanto de las empresas tecnológicas como de los usuarios para exigir y desarrollar estándares más altos de verificación y autenticidad.

Empresas como Meta o Cloudflare ya cuentan con mecanismos para que las marcas y las personas denuncien contenido abusivo como deepfakes.

Asimismo, están surgiendo tecnologías de detección avanzadas como “IA Reality Defender” que cuentan con algoritmos de inteligencia artificial que identifican inconsistencias sutiles en videos y archivos de audio y analizan aspectos como expresiones faciales, patrones de voz y detalles del fondo para detectar posibles deepfakes. También TruePic, una startup que puede agregar metadatos inalterables a las imágenes en el momento de su creación.

“Solíamos refugiarnos en el ‘ver para creer’ pero ya no más. Tal vez el mayor desafío radica en cultivar el pensamiento crítico para discernir y convivir con realidades artificiales que pueden servir para entretener, informar, educar, o para todo lo contrario”, destaca Marino.

En definitiva, con una tecnología como ésta avanzando a pasos agigantados, es esencial unir fuerzas de todos los actores involucrados, corporaciones, desarrolladores de tecnología, organismos reguladores y plataformas con el objetivo de fomentar el desarrollo de estándares y soluciones que combatan delitos y usos maliciosos e indebidos.