Cómo proteger a su empresa del fraude de Deepfake

En 2024, un estafador usó el audio y el video de Deepfake para suplantar el CEO de Ferrari, Benedetto Vigna, e intentó autorizar una transferencia de cable, según los informes, vinculados a una adquisición. Ferrari nunca confirmó la cantidad, que los rumores colocaron en los millones de euros.

El esquema falló cuando un asistente ejecutante lo detuvo haciendo una pregunta de seguridad que solo el CEO efectivo podría replicar.

Esto no es ciencia ficción. Deepfakes han saltado de información errónea política al fraude corporativo. Ferrari fruscó este, pero otras compañías no han tenido tanta suerte.

Los ataques ejecutivos de Deepfake ya no son títulos atípicos raros. Son estratégicos, escalables y crecientes. Si su empresa aún no se ha enfrentado a una, es probable que sea solo cuestión de tiempo.

Relacionado: los piratas informáticos apuntaron a una compañía de ciberseguridad de $ 12 mil millones con un profundo de su CEO. He aquí por qué los pequeños detalles no lo hicieron sin éxito.

Cómo AI empodera a los impostores

Necesita menos de tres minutos del video conocido de un CEO, y menos de $ 15 en software, para hacer un defake convincente.

Con solo un breve clip de YouTube, AI Software puede distraer la cara y la voz de una persona en tiempo efectivo. No hay estudio. Sin presupuesto de Hollywood. Solo una computadora portátil y determinado diligente para usarla.

En el primer trimestre de 2025, el fraude de Deepfake costó aproximadamente $ 200 millones a nivel mundial, según el crónica de incidentes de Deepfake Q1 2025 de IA. Estas no son bromas: son atracos para que golpeen billeteras C -suite.

La viejo responsabilidad no es la infraestructura técnica; Es confianza.

Por qué el C -Suite es un objetivo principal

Los ejecutivos hacen objetivos fáciles porque:

• Comparten llamadas de ganancias, seminarios web y videos de LinkedIn que alimentan datos de capacitación

• Sus palabras llevan peso: los equipos obedecen con poco retroceso

• Aprueban grandes pagos rápidamente, a menudo sin banderas rojas

En una investigación de Deloitte de mayo de 2024, el 26% de los ejecutivos dijeron que determinado había probado una estafa de Deepfake en sus datos financieros en el postrero año.

Detrás de secuencia, estos ataques a menudo comienzan con credenciales robadas cosechadas de infecciones por malware. Un colección criminal desarrolla el malware, otro se filtra para los objetivos prometedores: nombres de empresas, títulos ejecutivos y patrones de correo electrónico.

Sigue la billete del multivector: texto, correo electrónico, chats de redes sociales: desarrollar campechanía y confianza antaño de un video en vivo o una voz profunda sella el trato. La etapa final? Un pedido falsificado desde la parte superior y una transferencia de alambre a ninguna parte.

Tácticas de ataque comunes

Clonación de voz:

En 2024, Estados Unidos vio más de 845,000 estafas de impostores, según datos de la Comisión Federal de Comercio. Esto muestra que segundos de audio pueden hacer un clon convincente.

Los atacantes se esconden utilizando chats cifrados, WhatsApp o teléfonos personales, para eludirlo.

Un caso trascendente: en 2021, un administrador del sotabanco de EAU recibió una emplazamiento imitando la voz del director regional. Cabró $ 35 millones a un estafador.

Video en vivo Deepfakes:

AI ahora permite suplantación de video en tiempo efectivo, como casi sucedió en el caso Ferrari. El atacante creó una videollamada sintética del CEO Benedetto Vigna que casi engañó al personal.

Ingeniería social multicanal escenificada:

Los atacantes a menudo construyen pretextos con el tiempo (correos electrónicos de reclutador falsos, chats de LinkedIn, invitaciones del calendario) antaño de una emplazamiento.

Estas tácticas hacen eco de otras estafas como anuncios falsificados: los delincuentes duplican las campañas legítimas de la marca, luego engañan a los usuarios en páginas de destino falsas para robar datos o traicionar imitaciones. Los usuarios culpan a la marca efectivo, agravando el daño de reputación.

La construcción de confianza de la confianza multivector funciona de la misma modo en la suplantación ejecutiva: la campechanía abre la puerta y la IA camina a través de ella.

RELACIONADO: La amenaza de Deepfake es efectivo. Aquí hay 3 formas de proteger su negocio

¿Qué pasa si determinado profundiza el c -suite?

Ferrari estuvo cerca de los fondos de cableado a posteriori de un profundo en vivo de su CEO. Solo el rápido desafío de un asistente sobre una pregunta de seguridad personal lo detuvo. Si aceptablemente no se perdió capital en este caso, el incidente planteó preocupaciones sobre cómo el fraude apoderado para la AI podría explotar los flujos de trabajo ejecutivos.

Otras compañías no tuvieron tanta suerte. En el caso de los EAU mencionado, una emplazamiento telefónica profunda y los documentos forjados condujeron a una pérdida de $ 35 millones. Solo se rastrearon solo $ 400,000 para las cuentas estadounidenses: el resto desapareció. La policía nunca identificó a los perpetradores.

Un caso de 2023 involucró a una compañía asegurada por Beazley, donde un director de finanzas recibió un video de WhatsApp en profundidad del CEO. Durante dos semanas, transfirieron $ 6 millones a una cuenta falsa en Hong Kong. Si aceptablemente el seguro ayudó a recuperar la pérdida financiera, el incidente aún interrumpió las operaciones y las vulnerabilidades críticas expuestas.

El cambio de información errónea pasiva a manipulación activa cambia el recreo por completo. Los ataques de Deepfake ya no son solo amenazas para la reputación o la supervivencia financiera: socavan directamente la confianza y la integridad operativa.

Cómo proteger el C -Suite

• Auditar contenido ejecutante conocido.

• Limite la exposición ejecutiva innecesaria en formatos de video/audio.

• Pregunte: ¿El CFO necesita estar en cada seminario web conocido?

• Hacer cumplir la comprobación multifactor.

• Siempre verifique las solicitudes de suspensión aventura a través de canales secundarios, no solo por correo electrónico o video. Evite encargar plena en cualquier medio.

• Adoptar herramientas de detección con IA.

• Use herramientas que luchen contra el fuego con fuego aprovechando las funciones de IA para la detección de contenido espurio generado por IA:

  • Observación de fotos: Detecta imágenes generadas por IA al detectar irregularidades faciales, problemas de iluminación o inconsistencias visuales

  • Observación de video: FLAGS DESCUPTOS examinando movimientos no naturales, fallas de situación y errores de sincronización facial

  • Observación de voz: Identifica el discurso sintético analizando el tono, la cadencia y los desajustes de patrones de voz

  • Monitoreo de anuncios: Detecta anuncios de Deepfake con semejanzas ejecutivas generadas por IA, endosos falsos o clips de video/audio manipulados

  • Detección de suplantación: Se detecta a los fallas de la voz no coincidente.

  • Detección de fila de soporte falsa: Identifica canales de servicio al cliente fraudulentos, incluidos los números de teléfono clonados, los sitios web falsificados o los chatbots de IA diseñados para hacerse sobrevenir por marcas reales

Pero tenga cuidado: los delincuentes todavía usan IA y a menudo se mueven más rápido. Por el momento, los delincuentes están utilizando IA más destacamento en sus ataques de los que estamos utilizando en nuestros sistemas de defensa.

Es probable que las estrategias que sean con tecnología preventiva falle: los atacantes siempre encontrarán formas.

Entrena con simulaciones realistas:

Use ejercicios de phishing y defake simulados para probar a su equipo. Por ejemplo, algunas plataformas de seguridad ahora simulan ataques basados ​​en Deepfake para capacitar a los empleados y a las vulnerabilidades de marca al contenido generado por IA.

Al igual que entrenamos IA utilizando los mejores datos, lo mismo se aplica a los humanos: compilar muestras realistas, fingir ataques reales de defake y calcular respuestas.

Desarrollar un vademécum de jugadas de respuesta a incidentes:

Cree un plan de respuesta a incidentes con roles claros y pasos de ascenso. Pruébelo regularmente, no espere hasta que lo necesite. Las filtraciones de datos y los ataques con IA no se pueden preparar completamente. Pero con las herramientas y el entrenamiento adecuados, puede detener la suplantación antaño de que se infiltren.

RELACIONADO: Jack Dorsey dice que pronto será ‘difícil sostener’ si los defectos profundos son reales: ‘como si estuvieras en una simulación’

La confianza es el nuevo vector de ataque

Deepfake fraude no es solo un código inteligente; Golpea donde duele, tu confianza.

Cuando un atacante imita la cara o la voz del CEO, no solo usa una máscara. Aprovechan la autoridad misma que mantiene a su empresa en funcionamiento. En una época en la que la voz y el video se pueden forjar en segundos, la confianza debe ganarse y veracidad cada vez.

No solo actualice sus firewalls y pruebe sus sistemas. Entrena a tu parentela. Revise su contenido de orientación pública. Una voz de confianza aún puede ser una amenaza: pausa y confirmar.