Los ataques de suplantación de identidad están evolucionando. He aquí cómo resistirse a ellos.

A principios de este año, el mundo de un estudiante universitario coreano hecho añicos cuando llegó un mensaje a su teléfono, una imagen sexual explícita de sí misma que nunca había tomado. Ahí estaba, con la cara injertada digitalmente en el cuerpo de otra persona.

Las imágenes eran deepfakes, una tecnología de IA basada en material fotográfico, vídeo o audio real, diseñada para engañar y humillar. Pero el estudiante no está solo en esto. Hoy, el crisis profunda y falsa se está desarrollando en las escuelas, los lugares de trabajo y nuestra vida personal. Este año ha sido testigo de un aumento de casi un 60% en los ataques de suplantación de identidad, en parte debido a los deepfakes de la IA. Lo que es aún más preocupante es que estos ataques están secuestrando nuestras percepciones y nuestra capacidad de distinguir la ficción de la realidad.

Este aumento de los deepfakes y la suplantación de identidad por audio puede estar relacionado con la creciente accesibilidad de herramientas como D-ID y ElevenLabs, que facilitan la clonación de identidades. Solo en ocho minutos, cualquiera puede crear un vídeo Deepfake convincente. Cuando la manipulación es tan fácil, el principal desafío radica en verificar la autenticidad. Para entender por qué estas estafas engañan a todo el mundo, desde los ejecutivos de alta dirección hasta los empleados de primera línea, deberíamos recurrir al psicólogo Robert Cialdini principios de persuasión. Principios como la autoridad, la prueba social y la urgencia a menudo se utilizan en estas estafas, lo que provoca pensamiento automático de los más cautelosos de nosotros. No es de extrañar que El error humano impulsa la mayoría de los ciberincidentes. Estas tácticas explotan nuestros sesgos cognitivos y se aprovechan de los puntos ciegos que surgen de las decisiones rápidas impulsadas por las emociones.

A medida que la verificación del contenido digital se hace más compleja, instintivamente recurrimos a la tecnología en busca de ayuda. Numerosos «detectores de IA» hacen afirmaciones audaces, pero con herramientas que pueden eliminar las marcas de agua de la IA de las imágenes y profesores de instituto esforzándose por detectar los deberes generados por la IA, las soluciones eficaces son escasas. La detección automática sigue siendo incoherente e inaccesible. Como era de esperar, los actores de amenazas están capitalizando esta brecha.

Hasta que la tecnología de protección no se ponga al día, las personas se quedan solas para tomar decisiones en tiempo real bajo una gran presión, sin una red de seguridad fiable. Pero el conocimiento de nuestros sesgos cognitivos puede mejorar significativamente nuestra precisión en la toma de decisiones, especialmente en situaciones de estrés. Al entender y anticipar nuestras vulnerabilidades cognitivas, podemos prepararnos para reconocer y responder a estas tácticas de manipulación.

Un cortocircuito en nuestro cerebro

No se trata de un fallo humano; nuestras mentes, diseñadas para ser eficientes, están siendo manipuladas de maneras a las que somos vulnerables de forma natural. Empecemos con tres sesgos cognitivos que nos afectan a todos, ya sea en las decisiones personales diarias o en las decisiones empresariales de alto riesgo.

Considere el caso de un Un hombre de Chicago que perdió 50 000 dólares después de enamorarse de un aviso urgente por correo electrónico que parecía provenir de PayPal, que decía que su cuenta estaba a punto de verse comprometida debido a algunas transacciones sospechosas. De prisa, se le instó a hacer clic en un enlace adjunto para volver a introducir los datos de su cuenta bancaria. En ese momento dado, fue víctima de un túnel cognitivo: centrarse de una sola manera en la tarea urgente que tenía entre manos lo cegó ante otras señales reveladoras de la estafa, como la URL sospechosa y el correo electrónico del remitente.

O piense en el Hombre de 72 años de Kerala (India), que recibió una videollamada de un antiguo colega pidiéndole ayuda financiera para una emergencia médica. Consumido por la preocupación, transfirió los fondos sin darse cuenta de que las súplicas emocionales las había inventado un estafador. El incidente ilustra otro sesgo común: la heurística afectiva, en la que nuestras emociones superan nuestros juicios.

Por último, tomemos el ejemplo de un trabajador financiero que asiste a una videollamada con varios altos ejecutivos de una empresa multinacional. Se le pidió al trabajador que lo hiciera inmediatamente transferencia bancaria 25 millones de dólares. Su confianza en las supuestas figuras de autoridad lo llevó a enviar el dinero, pasando por alto cualquier incoherencia que observara. Este es un claro ejemplo de sesgo de autoridad, en el que instintivamente confiamos y damos un peso indebido a las palabras de los que están en el poder.

Redirigiendo las vías del pensamiento

Los ejecutivos y los líderes siempre han sido los principales objetivos de las estafas de suplantación de identidad, pero las deepfakes elevan estas amenazas gravemente. Con los medios digitales que hacen que las imágenes y las grabaciones de vídeo sean fácilmente accesibles, crear un ataque convincente nunca ha sido tan sencillo. Mientras que las defensas sistémicas contra la suplantación de identidad, desde autenticación multifactorial y Detección impulsada por IA para entrenamiento gamificado y ciberseguro — ofrecen una protección valiosa, no son suficientes. A continuación, ofrecemos medidas prácticas para la vigilancia y la detección inmediatas y personales, elementos esenciales para fomentar una cultura de seguridad resiliente.

Recentre la atención en las tácticas para contrarrestar la urgencia.

Las estafas de suplantación de identidad se basan en la urgencia o el miedo para distraernos de analizar la situación. Investigar demuestra que cambiar deliberadamente el enfoque hacia señales neutrales ayuda a gestionar los sesgos de atención. Tomemos el caso reciente de un alto directivo de una empresa de ciberseguridad atacado por un estafador que se hacía pasar por su CEO. Armado con un convincente mensaje de WhatsApp y una grabación de audio, lo presionaron para que tomara medidas en relación con un «acuerdo de negocios» urgente.

En lugar de caer en la estratagema, se centró en las señales que no cuadraban: hablar de información confidencial en una aplicación informal y negarse a una llamada de seguimiento. En lugar de cumplir, hizo una pausa, consultó su lista de control mental y denunció el incidente al departamento de TI. Desarrollar el hábito de dar un paso atrás, incluso para nueve segundos (uno o dos minutos es aún mejor), puede marcar una diferencia significativa. Esta pausa da tiempo para consultar un lista de verificación seleccionada de pasos de verificación neutrales: comprobar los detalles del remitente, pasar el ratón sobre los enlaces adjuntos o dar un paseo para refrescarse. Esta pausa orientada a la acción ayuda a volver a centrarse en los hechos, gestionar sobrecarga cognitiva.

Regule los desencadenantes emocionales dirigidos a su compasión.

Los ataques de ingeniería social tienen como objetivo primero nuestras emociones. Pero cuando nuestra respuesta coincide con la intensidad de su manipulación, nuestra forma de pensar se vuelve reactiva y rígida. Una estrategia más eficaz es afectar al etiquetado — nombrar conscientemente nuestras emociones para verlas como puntos de datos transitorios. Esta práctica ayuda a reconocer lo que está en juego y permite una respuesta más racional.

Tomemos a Alan y Alicia, que recibieron una horrible llamada en la que decían que los padres de Alan habían sido tomados como rehenes. Al principio entró en pánico, Alan se tomó un momento para reconocer su miedo. Reconoció que el pánico no salvaría a sus padres y optó por una estrategia lógica. Utilizó otro teléfono para llamarlos directamente y confirmó que estaban a salvo. Hacer una pausa para etiquetar sus emociones le ayudó a recuperar el control emocional y a considerar las consecuencias a largo plazo en lugar de prestaciones a corto plazo. Al hacerlo, podemos pasar de respuestas automáticas a respuestas más deliberadas y conscientes.

Resista la deferencia automática a la autoridad.

En la mayoría de los casos, la mitad de la batalla se pierde debido a nuestra confianza inherente en autoridad. Una buena práctica es aprovechar nuestros conocimientos compartidos como herramienta de verificación. Cuando un Ejecutivo de Ferrari recibió una llamada del CEO Benedetto Vignaan desde un número desconocido, al principio no pensó en ello. Pero a medida que la conversación pasó a ser confidencial, comenzó a sospechar. En lugar de confiar en la autoridad de la persona que llamó, hizo una pregunta personal que solo el CEO podía responder. La persona que llamó se quedó en silencio y colgó.

Otra estrategia es buscar activamente información que cuestione nuestras suposiciones. Participar en la toma de decisiones colectivas puede ayudar a aplazar la fe ciega en la autoridad. Consulte fuentes creíbles antes de actuar en respuesta a las solicitudes urgentes. La mayoría de las estafas hacen solicitudes inusuales. Simplemente preguntando: «¿Por qué se siente diferente?» puede despertar nuestro conocimiento y empujarnos a verificar con fuentes confiables. Esta táctica de comprobación de credibilidad — devolviendo la llamada a través de canales confiables o verificados, mantiene la información errónea bajo control y ayuda a reducir la ansiedad y la ambigüedad y permite hacer preguntas de seguimiento.

Establecer canales de comunicación transparentes dentro de una organización permite a los empleados impugnar instrucciones cuestionables o expresar sus preocupaciones sin miedo a represalias. Una cultura laboral que fomenta el cuestionamiento, la verificación y la resolución colaborativa de problemas construye uno resiliente.

Los sesgos cognitivos son esenciales para la toma de decisiones diaria y no se pueden eliminar. Pero gestionarlos es posible. Con el tiempo, la resiliencia cognitiva, respaldada por un lugar de trabajo propicio y la tecnología, puede fortalecer a las organizaciones desde cero.

Como en octubre se celebra el Mes de la Concientización sobre la Ciberseguridad, es la oportunidad perfecta para que las organizaciones revisen y preparen sus estrategias de ciberseguridad para protegerse mejor a sí mismas y a sus empleados. Pero nunca es un mal momento para reiniciar la conversación sobre el papel que cada uno de nosotros tiene que desempeñar para asegurarnos. La mayoría de los ataques suelen utilizar la simple estrategia de la explotación humana. Una verdadera cultura de la ciberseguridad empieza por proteger la mente humana, incluso antes de pasar a los sistemas que nos rodean. Para crear una mentalidad de seguridad resiliente, primero debemos dominar la forma en que estamos conectados.