En Perú, empresas han emitido comunicados en respuesta por incidentes de suplantación a ejecutivos corporativos, especialmente los CEO. Ante la eventualidad de un fraude de este tipo, es fundamental contar con un plan de acción estructurado, señala Alexander García, socio de Ciberseguridad y Consultoría Tecnológica en PwC Perú.

En los últimos años, la explosión de la inteligencia artificial ha traído una gran expectativa en las empresas para reinventar su modelo de negocio, mejorar su eficiencia, reducir costos, automatizar procesos, entre otros. Sin embargo, como ocurre con toda tecnología, así como esperamos diversos beneficios también hay riesgos emergentes que no deben subestimarse. En ese contexto, el estudio Global Digital Trust Survey 2025 de PwC revela que más del 60% de los responsables de seguridad consideran que la inteligencia artificial incrementa la exposición a ciberataques.

Uno de los riesgos más inquietantes es el fraude por suplantación de identidad mediante deepfake. Esta técnica es una amenaza creciente en el mundo digital donde los ciberdelincuentes imitan a representantes legítimos de las organizaciones. Aunque el uso de deepfake no es una práctica nueva, se ha vuelto más sofisticada con el uso de la IA, lo que dificulta cada vez más distinguir entre comunicaciones genuinas e intentos fraudulentos.

Este tipo de suplantación puede tener como objetivo a personas, empresas o incluso entidades gubernamentales, lo que con frecuencia provoca pérdidas financieras significativas o filtraciones de datos. Según PwC Australia, en 2024 la filial en Hong Kong de una empresa multinacional de ingeniería perdió US$25 millones después de que estafadores usaran deepfakes del CFO y otros ejecutivos en una videollamada para autorizar transferencias fraudulentas.

En Perú, en los últimos meses, hemos visto como se han generado diversos comunicados en respuesta por incidentes de suplantación a ejecutivos corporativos, especialmente CEOs. Ante la eventualidad de un fraude de este tipo, es fundamental contar con un plan de acción estructurado que permita mitigar el impacto y recuperar la normalidad operativa. A continuación, se propone una estrategia de respuesta en cinco etapas clave:

  • Respuesta inmediata: Aislar el incidente tomando medidas para evitar su propagación.
  • Investigar y evaluar: Realizar una investigación forense que incluya entrevistas, inteligencia corporativa, análisis de transacciones y revisión de evidencia digital.
  • Recuperar: En caso de robo, rastrear el destino del dinero y buscar opciones legales para su recuperación. Si se trata de un robo de información, evaluar su impacto de acuerdo con los acuerdos contractuales vigentes y activar la póliza de ciber seguro (en caso aplique).
  • Remediar: Reforzar las medidas de seguridad, recuperar datos perdidos y monitorear las potenciales actividades maliciosas en los sistemas críticos de la organización.
  • Comunicar: Informar de manera clara y estratégica a los públicos internos y externos en caso se requiera, asegurando transparencia, control del mensaje y protección de la reputación organizacional.

Finalmente, pensando en una estrategia preventiva para protegernos del riesgo de suplantación de identidad es fundamental:

  • Llevar a cabo un análisis exhaustivo de incidentes pasados y evaluar la probabilidad de intentos de suplantación.
  • Revisar los sistemas actuales e identificar las vulnerabilidades existentes.
  • Realizar la debida diligencia de los datos revisando la información disponible públicamente de la gerencia clave y la empresa (en particular datos de audio y voz).
  • Fortalecer los procedimientos existentes de respuesta a incidentes y gestión de crisis.
  • Realizar un ejercicio de preparación o simulacros para practicar de forma segura. Por ejemplo, enviar un audio falso del CEO realizado con inteligencia artificial a los colaboradores para evaluar la reacción del equipo y concientizarlos.

La regulación en Perú solo alcanza al sector financiero. Aunque existe la Ley N° 31814 que promueve el uso de la inteligencia artificial, esta se encuentra en un estadio inicial y aún falta el reglamento para su adopción. La Alta Gerencia debe priorizar una estrategia de ciberseguridad que le permita gestionar sus riesgos de acuerdo con sus procesos y activos de información críticos. Es crucial articular estrategia, procesos, personas y tecnología para que las amenazas cibernéticas puedan ser detectadas a tiempo. Asimismo, fortalecer la cultura de ciberseguridad de nuestros equipos, que muchas veces se limitan a cursos en línea y no generan un cambio de conducta y comportamientos de los colaboradores en el ciberespacio.

Es difícil estar constantemente preparados para amenazas emergentes como el deepfake dado que éstas cambian en muy corto plazo. Sin embargo, lo realmente necesario es que las organizaciones monitoreen estos riesgos cibernéticos a los cuales están expuestos y ajusten oportunamente sus controles de respuesta para reducir la probabilidad de materialización de estas amenazas.

Sobre el autor

Alexander García es socio de Ciberseguridad y Consultoría Tecnológica en PwC Perú.

Las opiniones expresadas son solo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Perú.