Contáctenos

La brecha en la sala de juntas: por qué a los CISO les cuesta hablar sobre deepfakes y cómo abordarlo

Líderes del pensamiento

La brecha en la sala de juntas: por qué a los CISO les cuesta hablar sobre deepfakes y cómo abordarlo

mm
Publicado

La ciberseguridad está entrando en un momento crucial, impulsada por la adopción generalizada de la IA por parte de empresas, gobiernos e individuos. Con 82% En EE. UU., un gran número de empresas utilizan o exploran el uso de IA en sus negocios. Las organizaciones están logrando nuevas eficiencias, pero también lo hacen los atacantes. Las mismas herramientas que impulsan la innovación también permiten a los actores de amenazas generar contenido sintético con una facilidad y un realismo alarmantes. Esta nueva realidad ha presentado desafíos significativos, incluyendo la capacidad de crear contenido sintético (imágenes, audio y video) y deepfakes maliciosos (audio, video o imagen manipulados para suplantar a una persona real) a una velocidad y sofisticación sin precedentes. Con solo unos clics, cualquier persona con acceso a una computadora e internet puede manipular imágenes, audio y videos, sembrando desconfianza y duda en la cultura de la información. 

En una era en la que empresas, gobiernos y medios de comunicación dependen de la comunicación digital para su sustento, no hay margen de error al subestimar los riesgos que representan las deepfakes, el fraude de identidad sintética y los ataques de suplantación de identidad. Estas amenazas ya no son hipotéticas: las pérdidas financieras derivadas del fraude empresarial facilitado por deepfakes superaron... 200 millones de dólares solo en el primer trimestre de 1, lo que subraya la magnitud y la urgencia del problema. Un nuevo panorama de amenazas exige un nuevo enfoque de ciberseguridad, y los CISO deben actuar con rapidez para garantizar la seguridad de su empresa. Sin embargo, solicitar nuevo capital y comunicar claramente la exposición de una organización a amenazas a una junta directiva con distintos niveles de conocimiento sobre la gravedad de la amenaza de los deepfakes puede resultar abrumador. A medida que los ataques de deepfakes siguen evolucionando y tomando forma, cada CISO debe estar a la vanguardia para llevar esta conversación a la sala de juntas. 

A continuación se presenta un marco para que los CISO y los ejecutivos faciliten las conversaciones con las partes interesadas a nivel de la junta, la organización y la comunidad. 

Utilice marcos familiares: deepfakes como ingeniería social avanzada

Las juntas directivas se han acostumbrado a pensar en la ciberseguridad con términos familiares: correos electrónicos de phishing, ataques de ransomware y la inminente pregunta de si su empresa sufrirá una vulneración de seguridad. Esta mentalidad determina cómo priorizan las amenazas y a qué destinan los presupuestos de seguridad. Pero cuando se trata de contenido generado por IA, especialmente los deepfakes, no existe un punto de referencia integrado. Considerar los deepfakes como una amenaza novedosa e independiente suele generar confusión, escepticismo o inacción.

Para combatir esto, los CISO deberían centrar la conversación en algo que las juntas directivas ya comprenden: la ingeniería social. En esencia, la amenaza de los deepfakes no es completamente nueva; es una forma de phishing evolucionada y más peligrosa que ha existido en la industria durante años y sigue siendo la principal. vector de ataque de ingeniería social. Las juntas directivas ya reconocen el phishing como un riesgo creíble y se sienten cómodas aprobando recursos para defenderse. En muchos sentidos, los deepfakes representan una forma de ingeniería social más convincente, escalable y eficaz, dirigida tanto a organizaciones como a individuos con una precisión devastadora. 

Enmarcado deepfakes De esta manera, los CISO pueden aprovechar la formación, las partidas presupuestarias y la memoria institucional existentes. En lugar de solicitar nuevos recursos, pueden replantear la solicitud como una evolución de las inversiones en seguridad ya aprobadas. Cuanto más se apoyen los CISO en esta narrativa, mayor será la probabilidad de que se les concedan los recursos necesarios para abordar este problema más amplio e inmediato. 

Ancle el riesgo en el realismo, no en el sensacionalismo

Señalar ejemplos del mundo real es una excelente manera de que la junta directiva comprenda mejor el impacto que las amenazas de deepfake podrían tener en las organizaciones. Sin embargo, es importante considerar qué ejemplos presentan los CISO a las juntas, ya que pueden tener el efecto contrario. Historias infames como... El incidente de fraude electrónico de 25 millones de dólares en Hong Kong Son buenos titulares, pero pueden ser contraproducentes en la sala de juntas. Estos ejemplos extremos a menudo parecen remotos o irrealistas, creando la sensación de que «algo tan catastrófico nunca podría sucedernos». El sesgo se manifiesta de inmediato y elimina la urgencia de invertir en protección. 

En lugar de ello, los CISO deberían utilizar escenarios más realistas para mostrar cómo este riesgo podría manifestarse internamente, como la suplantación de identidad de un ejecutivo o el fraude en entrevistas.

En un caso, Actores amenazantes de Corea del Norte Se creó una llamada falsa de Zoom con ejecutivos generados por IA para engañar a un empleado del sector de criptomonedas y lograr que descargara malware para acceder a información confidencial de la empresa con la intención de robar criptomonedas. Al final, los hackers no lograron acceder, pero la amenaza que estos ataques representan para la integridad de una marca debería ser una llamada de atención para las juntas directivas de la empresa. 

Otra táctica en crecimiento implica candidatos falsos Utilizan identidades generadas por IA y credenciales ultrafalsas para infiltrarse en organizaciones empresariales. Estos individuos suelen actuar en nombre de adversarios estadounidenses como Rusia, Corea del Norte o China, buscando acceder a sistemas y datos confidenciales. Esta tendencia agota los recursos internos y expone a las organizaciones a riesgos de seguridad nacional y explotación financiera. 

A menudo, estas amenazas pasan desapercibidas. Por cada ejemplo que aparece en las noticias, decenas no se reportan, lo que dificulta comprender completamente la magnitud de esta amenaza. Cuanto más mundano sea el ataque, más inquietante y relatable se vuelve. Al compartir ejemplos como estos (realistas, relacionables y más cercanos), los CISO pueden fundamentar la conversación sobre deepfake en las operaciones comerciales cotidianas y reforzar por qué esta amenaza en evolución exige una atención seria a nivel de la junta directiva.

Vincular la defensa contra deepfakes con las métricas de resiliencia existentes

Los CISO reciben constantemente las mismas preguntas de sus juntas directivas: ¿Cuál es nuestra probabilidad de sufrir una vulneración de seguridad? ¿Dónde somos más vulnerables? ¿Cómo reducimos el riesgo? Si bien el phishing, el ransomware y las filtraciones de datos siguen existiendo, es importante mostrar el cambio fundamental que ha ocurrido en estas vulnerabilidades y cómo ahora se extienden mucho más allá de las superficies de ataque tradicionales. 

Los equipos de RR. HH., finanzas y compras —roles que tradicionalmente no se consideraban defensores de primera línea— ahora son blancos frecuentes de suplantación de identidad sintética, y la capacidad del ser humano promedio para detectar estas amenazas es extremadamente baja. De hecho, sólo 1 de cada 1,000 personas Puede detectar con precisión el contenido generado por IA. Los CISO ahora tienen la tarea de abordar la demanda de formación avanzada en ingeniería social y una mayor ciberresiliencia en toda la organización, ya que todos los miembros de la organización necesitan recibir formación, pruebas y concienciación para contribuir a la mitigación. 

La defensa contra deepfakes debe convertirse en una extensión de la resiliencia empresarial y requiere formación continua, al igual que se capacita a los equipos mediante simulaciones de phishing, formación de concienciación y ejercicios de equipo rojo. Los CISO deben utilizar las métricas de las capacitaciones y simulaciones para ayudar a definir el problema en métricas que la junta directiva comprenda. Si la junta directiva ya ha asumido la resiliencia como una prioridad estratégica para la organización, los deepfakes se convierten en la siguiente frontera natural.

Las amenazas generadas por IA no están por llegar. Ya están aquí. Es hora de asegurarnos de que la junta directiva esté preparada para escuchar y liderar. Gracias a la adopción de la IA, la escala y la frecuencia de los ataques deepfake y basados en la identidad han transformado el panorama de amenazas en uno impredecible y en constante evolución. 

Pero las juntas directivas no necesitan una introducción a los deepfakes ni a la clonación de voz. Necesitan un contexto empresarial claro y una mayor comprensión de las amenazas que representan para sus organizaciones. Los CISO deben basar su conversación en el riesgo, el coste y la continuidad operativa. Quienes alinean su narrativa sobre los deepfakes con paradigmas conocidos (phishing, ingeniería social, resiliencia) ofrecen a su junta directiva un marco y un contexto en los que pueden actuar, no solo reaccionar. 

Temas relacionados:
mm

Jim es el director de productos y tecnología de Ser realistas, donde lidera todos los aspectos de la estrategia, el desarrollo y la entrega de productos. Aporta más de dos décadas de experiencia en el desarrollo, la gestión y la comercialización de productos y servicios de ciberseguridad en empresas como BetterCloud, IBM, Dell Secureworks y RedHat. Es licenciado en Ingeniería Mecánica por el Instituto Tecnológico de Georgia y tiene una Maestría en Administración de Empresas por la Escuela de Negocios Goizueta de la Universidad de Emory.