El auge de la GenAI ha llevado la ingeniería social y el phishing a nuevas formas. Lo que antes requería esfuerzo manual ahora se puede generar en segundos, dando como resultado mensajes hiperpersonalizados, voces ejecutivas clonadas e incluso suplantaciones de identidad realistas en vídeo. Los incidentes de deepfake ya han pasado de ser una simple curiosidad online a un riesgo empresarial real, provocando pérdidas financieras e interrupciones operativas en organizaciones de todo el mundo.
En las plataformas de colaboración habituales, verificar la identidad se ha vuelto cada vez más difícil. La clonación de rostro y voz en tiempo real elimina muchas señales de advertencia tradicionales, lo que dificulta más que nunca la detección de estafas. A medida que cambia el panorama de amenazas, las organizaciones necesitan defensas modernas y programas de concienciación más inteligentes diseñados para las realidades de la era de la IA.
Infinity Global Services de Check Point ha ampliado recientemente su oferta de formación para ayudar a los equipos de ciberseguridad a fortalecer los entornos integrados con IA y desarrollar las habilidades necesarias para protegerlos. Sin embargo, aunque la tecnología sigue avanzando, los atacantes siguen recurriendo al mismo punto de entrada: las personas. El error humano sigue siendo la vulnerabilidad más explotada en la cadena de seguridad.
El nuevo panorama de riesgos: Multimodal, en tiempo real, alto riesgo
La IA permite a los adversarios escalar la ingeniería social a través de múltiples canales en tiempo real. Algunos ejemplos recientes incluyen:
- Robo deepfake en vivo: En Hong Kong, un empleado de finanzas fue engañado durante una videollamada grupal falsa con identidades ejecutivas clonadas, lo que resultó en una transferencia bancaria de aproximadamente US$25-26 millones.
- Casi accidente en Ferrari: El personal de Ferrari confrontó a un “CEO” sospechoso en una llamada de Teams; una pregunta de identidad oportuna puso fin a la estafa, lo que ilustra la eficacia de los rituales de verificación.
- Más allá del correo electrónico: Los informes han demostrado que las técnicas deepfake en tiempo real utilizadas en estafas románticas y laborales se están infiltrando en entornos de ingeniería social empresarial, donde la toma de decisiones rápida y las señales de poca confianza aumentan el riesgo.
La IA ha transformado el phishing de maneras que los programas de concientización tradicionales no fueron diseñados para manejar. Los ataques ahora son altamente personalizados, con LLMs creando mensajes que imitan a líderes, colegas o proveedores utilizando contexto real. Los adversarios pueden generar y probar docenas de variantes en minutos, navegar por correo electrónico, chat, voz y video, y crear presión en tiempo real mediante convincentes llamadas en vivo. Las señales tradicionales, como errores tipográficos o frases incómodas, están desapareciendo a medida que la IA mejora la precisión y la consistencia, lo que significa que los empleados deben aprender a verificar la intención y la identidad en lugar de confiar en señales de alerta obsoletas.
Combate la IA con IA: SmartAwareness de Check Point Infinity Global Services
Los cursos de formación en IA de Infinity Global Services pueden fortalecer la comprensión de los profesionales de la ciberseguridad sobre cómo crear sistemas más seguros en la era de la IA. SmartAwareness (Powered by InfoSec) de IGS, por otro lado, ofrece una actualización de la concienciación cibernética a nivel empresarial a cualquier empleado con acceso digital. Al pasar de lecciones genéricas puntuales a programas continuos de desarrollo de habilidades, SmartAwareness promueve que todos los alumnos adopten una mentalidad de prevención prioritaria, adaptando la formación al cambiante panorama de amenazas y capacitando a los empleados para que se mantengan seguros, tanto en el trabajo como en sus dispositivos personales.
Las capacidades de la plataforma incluyen:
• Amplitud y realismo: Más de 1000 plantillas globales de phishing y un creador personalizado para reflejar los nuevos señuelos impulsados por IA.
• Microaprendizaje oportuno: Cualquier persona que haga clic recibe capacitación instantánea y específica para reforzar hábitos más seguros.
• Conocimientos sobre engaños con IA: El kit “Detective Digital” ofrece módulos de concientización sobre deepfakes, cuestionarios y materiales de apoyo.
• Escala empresarial: Más de 2000 módulos de concientización permiten implementaciones a gran escala y actualizaciones continuas.
Manteniéndose seguro: Acciones que puede implementar hoy
Las organizaciones pueden fortalecer sus defensas adoptando hábitos sencillos y consistentes que contrarresten el engaño impulsado por la IA. El objetivo es que la verificación sea instintiva y garantizar que todos los empleados sepan cómo responder bajo presión.
• Realice simulaciones multicanal: Realice pruebas con correo electrónico, SMS, herramientas de colaboración y voz, reforzando hábitos como devolver llamadas a números conocidos o contraseñas compartidas.
• Institucionalice la verificación: Exija comprobaciones fuera de banda para transferencias, actualizaciones bancarias, restablecimientos de credenciales y solicitudes urgentes.
• Lance campañas de concienciación sobre la IA: Utilice los materiales de Digital Detective y actualícelos trimestralmente con nuevos ejemplos y orientación.
• Mida y identifique a los grupos de riesgo: Realice un seguimiento de la susceptibilidad y los tiempos de notificación, y luego centre los simulacros y el seguimiento donde sea necesario.
La IA ha acelerado la escala y la complejidad de los ataques de phishing, acortando drásticamente el tiempo para el juicio humano. Una defensa eficaz ahora se basa en simulaciones realistas multicanal, capacitación rápida y rituales de verificación institucionalizados, en lugar de las conferencias tradicionales. Check Point IGS SmartAwareness ofrece el “sistema operativo” conductual necesario para estos nuevos riesgos. Así, cuando llegue el momento de “¿Es real?”, todos los empleados estarán listos para responder con confianza.
Acerca de Infinity Global Services
Check Point ofrece servicios integrales de seguridad gestionada a través de Infinity Global Services (IGS). Estos servicios, utilizados por 5000 clientes empresariales, incluyen investigación de amenazas, MDR, evaluación de riesgos, monitorización proactiva, servicios profesionales y capacitación de primer nivel. El conjunto de servicios de ciberseguridad de IGS proporciona protección integral, desde la evaluación inicial y el diseño hasta la capacitación y optimización continuas y la respuesta rápida, garantizando el máximo nivel de seguridad. Con el respaldo de expertos de primer nivel e inteligencia de amenazas en tiempo real, la amplia gama de servicios ayuda a proteger a organizaciones de todos los tamaños.