Un empleado de la firma Arup en Hong Kong perdió más de 25 millones de dólares después de recibir una videollamada donde veía y escuchaba a su director financiero pidiéndole autorizar 15 transferencias bancarias. El problema es que esa persona nunca hizo esa llamada: cada rostro y cada voz fueron generados por inteligencia artificial. No falló la tecnología de la empresa, falló el proceso. Y ese es exactamente el punto de partida para entender por qué los controles organizacionales importan más que cualquier herramienta de detección.
¿Qué es un deepfake y por qué es tan peligroso en los negocios?
Un deepfake es contenido —audio, video o imagen— donde la inteligencia artificial imita o reemplaza el rostro o la voz de una persona real [0:52]. Pero en términos prácticos, un deepfake es una forma de hacerte confiar en algo que no deberías. En contexto de negocio, eso lo convierte en una amenaza seria.
Los riesgos reales se agrupan en tres categorías [1:10]:
- Fraude financiero: casos como el de Arup o Ferrari, donde clonaron la voz del CEO para pedir transferencias. En Ferrari, un empleado frenó el ataque simplemente haciendo una pregunta que la IA no pudo responder.
- Desinformación: videos falsos de líderes políticos, audios manipulados y contenido viral que parece real.
- Abuso personal: imágenes íntimas falsas, ataques reputacionales y daño psicológico.
¿Por qué funcionan estos ataques?
Estos ataques no dependen de la calidad del deepfake, sino de cómo reaccionamos nosotros [1:52]. Activan dos gatillos psicológicos: autoridad y urgencia. Cuando alguien con autoridad te habla, tu cerebro baja la guardia. Cuando además te dice "hacelo ahora", directamente deja de pensar. Ahí es donde el proceso tiene que entrar a protegerte.
¿Qué señales pueden activar tu alerta?
Antes de hablar de controles, vale la pena conocer las señales, no para confiar ciegamente en ellas, sino para activar el protocolo [2:15]:
- En voz: sonido plano, sin pausas naturales, falta de ruido ambiente y evasión de preguntas específicas.
- En video: bordes raros en la cara, labios desincronizados y parpadeo extraño.
La regla de oro es clara: nunca autorices algo sensible basado únicamente en una llamada o videollamada, sin importar cuán real parezca.
¿Cómo funciona la verificación fuera de banda?
Este es el concepto central de defensa [2:40]. Si alguien te contacta por Zoom o WhatsApp pidiendo una acción urgente, tomá un segundo y llamala a su número de teléfono habitual, el que tenés guardado en tus contactos. Verificar por un canal diferente al que se usó para la solicitud rompe la cadena del engaño.
Pero un solo control no basta. La segunda capa es la separación de funciones [3:04]: pensalo como una bóveda con dos llaves. Una persona solicita, otra aprueba y otra ejecuta. Un atacante ahora necesita engañar a varias personas, lo que cambia completamente el costo del ataque.
Sumale a esto:
- Límites por monto.
- Doble aprobación en operaciones críticas.
- Mínimo privilegio: nadie tiene más acceso del necesario. Por ejemplo, la persona que ejecuta pagos no debería poder crear beneficiarios nuevos. Eso solo ya rompe muchísimos fraudes.
¿Cómo aplicar un flujo de respuesta ante solicitudes sospechosas?
Cuando recibís una solicitud que genera dudas, seguí este flujo concreto [3:45]:
- Tomarte un tiempo: no actúes de inmediato y guardá evidencia.
- Verificar identidad por otro canal.
- Analizar el contenido: ¿hay urgencia artificial? ¿salta procesos establecidos?
- Usar herramientas de detección si las tenés, pero sin depender exclusivamente de ellas.
- Doble aprobación antes de ejecutar.
- Documentar todo.
- Si hay duda, escalar.
En ningún paso se confía en que algo "parece real". Todo se valida de forma independiente.
¿Qué checklist usar antes de ejecutar una acción sensible?
Antes de cualquier operación crítica, verificá estos cinco puntos [4:16]:
- ¿Se evitó actuar por urgencia?
- ¿Se verificó por canal independiente?
- ¿Hay doble aprobación?
- ¿Está documentado?
- ¿No se dependió de un solo canal?
Si falla uno, no se ejecuta. Las herramientas de detección van a fallar eventualmente, así que tu sistema tiene que funcionar igual aunque todo parezca real.
Imaginá que trabajás en finanzas y recibís un audio perfecto de tu jefe pidiendo una transferencia urgente a un proveedor nuevo. ¿Ejecutás o te tomás un momento para pensarlo? ¿Qué canal usás para validar? ¿Quién más debería intervenir? Y la pregunta más importante: ¿tu proceso actual te protege o depende de que vos te des cuenta? Dejá tu respuesta o compartí un caso real que hayas visto en los comentarios.
