Connect with us

La Brecha en la Sala de Juntas: Por Qué los CISOs Luchan por Hablar sobre Deepfakes — y Cómo Enmarcarlo

Líderes de opinión

La Brecha en la Sala de Juntas: Por Qué los CISOs Luchan por Hablar sobre Deepfakes — y Cómo Enmarcarlo

mm
Published
Updated

La ciberseguridad está entrando en un momento crucial, impulsado por la adopción generalizada de la IA por parte de empresas, gobiernos e individuos. Con 82% de las empresas en EE. UU. que utilizan o exploran el uso de la IA en sus negocios, las organizaciones están desbloqueando nuevas eficiencias, pero también los atacantes. Las mismas herramientas que impulsan la innovación también permiten a los actores amenazantes generar contenido sintético con una facilidad y realismo alarmantes. Esta nueva realidad ha introducido importantes desafíos, incluida la capacidad de crear contenido sintético (imágenes, audio y video) y deepfakes maliciosos (audio, video o imagen manipulados para impersonar a una persona real) a una velocidad y sofisticación sin precedentes. En solo unos clics, cualquier persona con acceso a una computadora y a Internet puede manipular imágenes, audio y videos, introduciendo desconfianza y duda en la ética de la información. 

En una era en la que las empresas, los gobiernos y las organizaciones de medios confían en la comunicación digital para su sustento, no hay margen de error al subestimar los riesgos que plantean los deepfakes, el fraude de identidad sintética y los ataques de impersonación. Estas amenazas ya no son hipotéticas: las pérdidas financieras por fraude empresarial habilitado por deepfakes superaron los 200 millones de dólares en el primer trimestre de 2025, lo que subraya la escala y la urgencia del problema. Un nuevo panorama de amenazas requiere un nuevo enfoque de la ciberseguridad, y los CISOs necesitan actuar rápidamente para garantizar que su empresa permanezca segura. Sin embargo, solicitar nuevo capital y comunicar claramente la exposición a las amenazas de la organización a una junta directiva con diferentes niveles de conocimiento sobre la gravedad de la amenaza de los deepfakes puede ser abrumador. A medida que los ataques de deepfakes continúan evolucionando y tomando forma, cada CISO necesita estar a la vanguardia de llevar esta conversación a la sala de juntas. 

A continuación, se presenta un marco para que los CISOs y los directivos faciliten las conversaciones con las partes interesadas a nivel de junta, organización y comunidad. 

Utilice Marcos Familiarizados: Deepfakes como Ingeniería Social Avanzada

Las juntas han sido condicionadas a pensar en la ciberseguridad en términos familiares: correos electrónicos de phishing, ataques de ransomware y la pregunta latente de si su empresa será vulnerada. Esa mentalidad da forma a cómo priorizan las amenazas y dónde asignan los presupuestos de seguridad. Pero cuando se trata de contenido generado por IA, especialmente deepfakes, no hay un punto de referencia incorporado. Enmarcar los deepfakes como una amenaza novedosa y autónoma a menudo conduce a la confusión, el escepticismo o la inacción.

Para combatir esto, los CISOs deben anclar la conversación en algo que las juntas ya entienden: la ingeniería social. En su núcleo, la amenaza de deepfakes no es completamente nueva; es una forma evolucionada y más peligrosa de phishing que ha existido dentro de la industria durante años y continúa siendo el principal vector de ataque de la ingeniería social. Las juntas ya reconocen el phishing como un riesgo creíble, y están cómodas aprobando recursos para defenderse contra él. En muchos aspectos, los deepfakes representan una forma más convincente, más escalable y más capaz de ingeniería social, que apunta a organizaciones e individuos con una precisión devastadora. 

Enmarcar los deepfakes de esta manera permite a los CISOs aprovechar la educación existente, las líneas presupuestarias y la memoria muscular institucional. En lugar de solicitar nuevos recursos, pueden reformular la solicitud como una evolución de las inversiones de seguridad ya aprobadas. Cuanto más se inclinen los CISOs hacia esta narrativa, más probable es que se les concedan los recursos para abordar este problema más grande e inmediato. 

Anclar el Riesgo en Realismo, No en Sensacionalismo

Señalar a ejemplos del mundo real es una excelente manera de profundizar en la comprensión de la junta sobre los impactos que las amenazas de deepfakes podrían tener en las organizaciones. Sin embargo, es importante considerar qué ejemplos presentan los CISOs ante las juntas, ya que pueden tener el efecto contrario. Historias infames como el incidente de fraude por $25 millones en Hong Kong hacen titulares excelentes, pero pueden fracasar en la sala de juntas. Estos ejemplos extremos a menudo parecen remotos o poco realistas, creando la sensación de que “algo tan catastrófico nunca podría sucedernos”. El sesgo comienza inmediatamente y elimina el sentido de urgencia para invertir en protección. 

En su lugar, los CISOs deben utilizar escenarios más relacionados para mostrar cómo este riesgo podría desarrollarse internamente, como la impersonación de ejecutivos o el fraude de entrevistas.

En un caso, actores amenazantes de Corea del Norte crearon una llamada de Zoom falsa con ejecutivos generados por IA para engañar a un empleado de criptomonedas para que descargara malware y accediera a información confidencial de la empresa con la intención de robar criptomonedas. Al final, los hackers no pudieron acceder, pero la amenaza que estos ataques plantean a la integridad de la marca debería ser un llamado a las juntas dentro de la empresa. 

Otra táctica en crecimiento implica candidatos falsos que utilizan identidades y credenciales generadas por IA para infiltrarse en organizaciones empresariales. Estas personas a menudo actúan en nombre de adversarios de EE. UU. como Rusia, Corea del Norte o China, buscando acceso a sistemas y datos sensibles. Esta tendencia drena los recursos internos y expone a las organizaciones a riesgos de seguridad nacional y explotación financiera. 

A menudo, estas amenazas pasan desapercibidas. Por cada ejemplo en las noticias, decenas quedan sin informar, lo que hace difícil comprender la magnitud de esta amenaza. Cuanto más mundano es el ataque, más inquietante y relatable se vuelve. Al compartir ejemplos como estos —realistas, relacionados y más cercanos a casa—, los CISOs pueden fundamentar la conversación sobre deepfakes en las operaciones comerciales diarias y reforzar por qué esta amenaza en evolución requiere una atención seria a nivel de junta.

Ligar la Defensa de Deepfakes a Métricas de Resiliencia Existente

Los CISOs son continuamente preguntados las mismas preguntas por sus juntas: ¿Cuál es la probabilidad de que se produzca una vulneración? ¿Dónde somos más vulnerables? ¿Cómo reducimos el riesgo? Si bien el phishing, el ransomware y las violaciones de datos siguen existiendo, es importante mostrar el cambio fundamental que ha ocurrido dentro de esas vulnerabilidades y cómo ahora se extienden mucho más allá de las superficies de ataque tradicionales. 

Los equipos de RRHH, finanzas y compras —roles que no se consideran tradicionalmente como defensores de primera línea— ahora son objetivos frecuentes de impersonación sintética, y la capacidad promedio de los humanos para detectar estas amenazas es extremadamente baja. De hecho, solo 1 de cada 1.000 personas puede detectar con precisión el contenido generado por IA. Los CISOs ahora están encargados de abordar la demanda de educación en ingeniería social avanzada y una mayor resiliencia cibernética en toda la organización, ya que todos en la organización necesitan ser capacitados, evaluados y concienciados para ayudar con la mitigación. 

La defensa de deepfakes necesita convertirse en una extensión de la resiliencia empresarial y requiere educación continua de la misma manera que los equipos se capacitan a través de simulaciones de phishing, capacitación en conciencia y ejercicios de equipo rojo. Los CISOs deben utilizar las métricas de las capacitaciones y simulaciones para ayudar a enmarcar el problema en métricas que su junta entiende. Si una junta ya ha aceptado la resiliencia como una prioridad estratégica para la organización, los deepfakes se convierten en un nuevo frente natural.

Las amenazas generadas por IA ya no están por llegar. Ya están aquí. Es hora de que la sala de juntas esté lista para escuchar y liderar. Gracias a la adopción de la IA, la escala y la frecuencia de los ataques de deepfakes e identidad han transformado el panorama de amenazas en uno impredecible y en constante evolución. 

Pero las juntas no necesitan una introducción a los deepfakes o la clonación de voz. Necesitan un contexto empresarial claro y una mayor comprensión de las amenazas que plantean a sus organizaciones. Los CISOs deben fundamentar su conversación en riesgo, costo y continuidad operativa. Aquellos que alinean su narrativa de deepfakes con paradigmas familiares —phishing, ingeniería social, resiliencia— brindan a su junta un marco y un contexto en el que pueden actuar, no solo reaccionar. 

mm

Jim es el Director de Producto y Tecnología de GetReal, donde lidera todos los aspectos de la estrategia de producto, desarrollo y entrega. Trae más de dos décadas de experiencia en el desarrollo, gestión y marketing de productos y servicios de ciberseguridad en empresas como BetterCloud, IBM, Dell Secureworks y RedHat. Posee un título de Licenciado en Ingeniería Mecánica del Instituto de Tecnología de Georgia y un Master en Administración de Empresas de la Escuela de Negocios Goizueta de la Universidad Emory.