Los ataques de phishing son capaces de generar voces y vídeos de ejecutivos difíciles de distinguir de la realidad, con pérdidas millonarias en juego. Check Point Software recomienda programas de concienciación y simulaciones multicanal para que los empleados identifiquen intentos de fraude cada vez más sofisticados
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, pone el foco en cómo la IA generativa está transformando la manera de producir ataques de ingeniería social y phishing. Lo que antes requería tiempo, investigación y esfuerzo manual por parte de los ciberdelincuentes ahora puede generarse en cuestión de segundos. El resultado se traduce en mensajes hiperpersonalizados, voces de directivos clonadas e incluso suplantaciones en vídeo que se asemejan mucho a la realidad.
Los deepfakes representan en un riesgo real para las empresas. De hecho, ya se han registrado incidentes que han provocado pérdidas millonarias y graves interrupciones operativas en organizaciones de todo el mundo. Al mismo tiempo, en las plataformas de colaboración que utilizan las empresas a diario, verificar la identidad de quien está al otro lado es cada vez más complicado. La clonación de voz y rostro en tiempo real está eliminando muchas de las señales de alerta tradicionales, lo que dificulta detectar una estafa a simple vista. En este nuevo contexto, las compañías necesitan reforzar sus defensas y actualizar sus programas de concienciación para adaptarse a un panorama de amenazas cada vez más rápido, multicanal y sofisticado.
Check Point Software ha ampliado recientemente su porfolio de Infinity Global Services para ayudar a los equipos de ciberseguridad a reforzar entornos donde la IA ya forma parte de las operaciones y desarrollar las capacidades necesarias para protegerlos. Sin embargo, aunque la tecnología evolucione, los ciberdelincuentes siguen aprovechando el mismo punto débil de siempre: las personas. El error humano continúa siendo la vulnerabilidad más explotada en la cadena de seguridad.
La inteligencia artificial permite a los atacantes escalar campañas de ingeniería social de forma simultánea en múltiples canales y prácticamente en tiempo real. Uno de los casos más llamativos ocurrió en Hong Kong, donde engañaron a un empleado del departamento financiero durante una videollamada grupal en la que aparecían supuestos ejecutivos de la empresa generados mediante deepfake. La conversación parecía tan real que el trabajador autorizó una transferencia de entre 25 y 26 millones de dólares.
En contraste, un intento de fraude similar contra Ferrari terminó frustrado. Durante una llamada en Microsoft Teams con un supuesto CEO, un empleado decidió hacer una simple pregunta de verificación de identidad. Ese pequeño gesto fue suficiente para desenmascarar la estafa y evitar el fraude. Asimismo, las técnicas de deepfake utilizadas hasta ahora en estafas románticas o falsas ofertas de empleo están empezando a trasladarse al entorno corporativo. En un contexto donde las decisiones deben tomarse rápido y las señales de confianza son limitadas, el riesgo aumenta.
El phishing evoluciona hacia ataques multicanal
Además, el phishing ya no se limita al correo electrónico. Los modelos de lenguaje permiten generar mensajes extremadamente creíbles que imitan a directivos, compañeros o proveedores utilizando un contexto real. Los atacantes pueden crear decenas de versiones en minutos y distribuirlas por correo, chat, llamadas o videoconferencias. A medida que la IA mejora la calidad del lenguaje, señales tradicionales como errores ortográficos o frases extrañas desaparecen, por lo que los empleados deben aprender a verificar la identidad y la intención de quien realiza una solicitud, en lugar de confiar únicamente en estas pistas.
Para responder a este nuevo escenario, Infinity Global Services ha desarrollado diferentes programas de formación centrados en la seguridad en la era de la inteligencia artificial. Por un lado, estos cursos especializados ayudan a los profesionales de ciberseguridad a comprender cómo construir y proteger sistemas cada vez más integrados con IA. Por otro, SmartAwareness (Powered by InfoSec) ofrece programas de concienciación para toda la organización. El objetivo es ir más allá de las formaciones puntuales y apostar por programas continuos que desarrollen habilidades reales frente a las amenazas actuales.
La plataforma promueve una mentalidad Prevention-First, adaptando los contenidos al cambiante panorama de amenazas y ayudando a los empleados a adoptar hábitos de seguridad tanto en el trabajo como en su vida digital personal.
Entre sus principales capacidades destacan:
- Amplio catálogo de simulaciones: más de 1.000 plantillas de phishing y herramientas para crear campañas personalizadas que reproduzcan ataques reales impulsados por IA.
- Microformación inmediata: si un usuario cae en una simulación, recibe formación breve y específica en ese mismo momento para reforzar buenas prácticas.
- Concienciación sobre deepfakes: el kit «Digital Detective» incluye módulos formativos, cuestionarios y materiales sobre cómo detectar engaños generados por IA.
- Escalabilidad global: más de 2.000 módulos que permiten desplegar programas de concienciación a gran escala y mantenerlos actualizados.
Ante este nuevo escenario, Check Point Software recomienda adoptar hábitos sencillos pero sistemáticos que ayuden a frenar los intentos de engaño impulsados por IA. Entre ellos, la compañía aconseja realizar simulaciones multicanal -incluyendo correo electrónico, SMS, herramientas de colaboración y llamadas de voz-; establecer protocolos de verificación -como confirmar transferencias o cambios bancarios mediante un segundo canal independiente-; impulsar campañas internas sobre riesgos de la IA -actualizadas regularmente con nuevos ejemplos-; y analizar los niveles de riesgo dentro de la empresa, con el fin de identificar los departamentos o perfiles más vulnerables para reforzar la formación.
La inteligencia artificial ha permitido escalar y mejorar los ataques de phishing. Y ahora el margen de reacción de los empleados es menor. Por ello, la defensa ya no depende únicamente de la tecnología, sino también de crear hábitos de verificación y concienciación en toda la organización.
En este contexto, programas como Check Point IGS SmartAwareness buscan ayudar a las organizaciones a reforzar la capacidad de sus equipos para detectar y verificar intentos de fraude cada vez más sofisticados. Cuando la inteligencia artificial permite crear voces, vídeos o mensajes difíciles de distinguir de los reales, detenerse un momento y comprobar quién está realmente al otro lado puede ser decisivo.
