A principios de este año, apareció en las redes sociales de la India un vídeo que mostraba al director ejecutivo de la Bolsa de Valores de Bombay, Sundararaman Ramamurthy, dando consejos a los inversores sobre qué acciones comprar.
Lo que queremos es que no haya tenido ningún impacto. Nadie debería sufrir pérdidas por creer en algo falso.
Ramamurthy y la Bolsa de Valores de Bombay no están solos.
El propio Toubba fue víctima de un deepfake en 2024.
«Uno de nuestros empleados en Europa recibió un mensaje de audio y un mensaje de texto de alguien que decía ser yo, pidiéndome ayuda urgentemente», cuenta.
Afortunadamente para Toubba -y LastPass- el empleado sospechaba.
«El mensaje llegó por WhatsApp, que para nosotros no es un canal de comunicación autorizado», dice Toubba. «Además, tenemos dispositivos móviles autorizados por la empresa y esto llegó a través de su teléfono personal. Eso le hizo pensar que era algo turbio, sospechoso».
El empleado informó el incidente al equipo de ciberseguridad de LastPass y no se produjeron daños.
AFP vía Getty ImagesLa empresa británica de ingeniería Arup no tuvo tanta suerte. En 2024, sufrió uno de los ataques deepfake más sofisticados jamás vistos en el mundo empresarial.
Según la policía de Hong Kong, un empleado de Arup que trabajaba allí recibió un mensaje que supuestamente provenía del director financiero de la empresa, que tenía su sede en Londres, sobre una «transacción confidencial».
El empleado conectó una videollamada con el director financiero y otros empleados. A raíz de esa llamada, transfirió 25 millones de dólares (18,5 millones de libras) de fondos de Arup a cinco cuentas bancarias diferentes, según las instrucciones. Solo más tarde se supo que las personas que participaban en la llamada, incluido el director financiero, eran deepfakes.
«Nunca querrías simplemente iniciar una videollamada con alguien y transferir 25 millones de dólares», dice Stephanie Hare, investigadora tecnológica y copresentadora del programa de televisión AI Decoded de la BBC.
Las empresas se ven obligadas a tomar medidas adicionales para proteger este tipo de comunicaciones. Ese es el nuevo mundo en el que vivimos.
La rápida evolución de la IA significa que estos vídeos son cada vez más reales.
«Los deepfakes son cada vez más fáciles de realizar», afirma Matt Lovell, cofundador y director ejecutivo de la empresa británica de ciberseguridad CloudGuard. «Generar una calidad de vídeo y audio con especificaciones extremadamente precisas solo toma minutos».
Además, cada vez es más barato.
«Por ejemplo, un ataque sencillo dirigido por un solo individuo costaría entre 500 y 1000 dólares con el uso de herramientas mayoritariamente gratuitas», afirma Lovell. «Un ataque más sofisticado costaría entre 5000 y 10 000 dólares».
Si bien los videos deepfake se vuelven más sofisticados, también lo son las herramientas para contrarrestarlos. Las empresas ahora pueden usar software de verificación que evalúa las expresiones faciales de una persona, la forma en que gira la cabeza e incluso la forma en que fluye la sangre por su rostro para determinar si realmente se trata de ella o de una versión deepfake.
«En las mejillas o justo debajo de los párpados, buscaremos cambios en el flujo sanguíneo cuando una persona habla o presenta algo», dice Lovell. «Ahí es donde realmente podemos determinar si es generado por IA o real».
Pero las empresas están en una batalla constante para estar un paso por delante de los estafadores.
«Es una carrera entre quién puede implementar una tecnología y quién puede frustrarla lo antes posible», afirma Toubba de LastPass. «Por suerte, parece que se está invirtiendo bastante dinero en esto, lo que solo acelerará el ritmo con el que las organizaciones desarrollarán tecnologías para detectar y, en última instancia, bloquear estas cosas».
En CloudGuard, el director ejecutivo Matt Lovell se muestra más pesimista.
«Los vectores de ataque se están acelerando más rápido de lo que podemos acelerar la automatización y la protección de la defensa», afirma. «¿Se mueve la gente lo suficientemente rápido como para responder a la velocidad con la que se desarrolla la amenaza? Rotundamente no».
Y dice que las empresas se están dando cuenta de la amenaza, aunque lentamente.
«En el pasado no se consideraba una prioridad asegurar las operaciones del mismo modo que lo es ahora», señala.
Ahora que existen este tipo de riesgos, con líderes empresariales y directores ejecutivos siendo víctimas de deepfakes, creo que los ejecutivos pasarán más tiempo que antes con sus directores de seguridad de la información y sus equipos. Y eso es positivo.