Crisis reputacional y deepfakes: cómo proteger tu empresa ante la amenaza invisible
Fecha de publicación:
El espacio Xplora de Ibercaja acogió el encuentro “Crisis reputacionales en la era de los deepfakes”, organizado por Ibercaja, IAON y el Foro IA. Una jornada que se centró en el análisis del uso de deepfakes y las consecuencias reputacionales que puede tener un ataque de este tipo tanto a nivel personal como a empresas, organismos e instituciones. Se trata, en definitiva, de concienciar y difundir buenas prácticas en el uso de la Inteligencia Artificial “para que sea una buena herramienta y que ayude a la sociedad proactivamente”, explicó Fernando de Santos, director IAON.
• Amenaza real e inmediata. Los deepfakes ya no son una amenaza futura. Afectan hoy a empresas de todos los tamaños y sectores, con consecuencias económicas y reputacionales.
• Las pymes son un eslabón más débil. Las pymes son, con frecuencia, el punto de entrada de ataques dirigidos a organizaciones más grandes.
• La detección requiere personas y tecnología. Ninguna herramienta de IA es infalible para detectar deepfakes. La combinación de formación, cultura organizacional y soluciones tecnológicas es la única estrategia robusta.
• Es imprescindible un protocolo de crisis. Las organizaciones que no tienen un plan de respuesta adecuado ante crisis reputacionales por deepfakes están improvisando en el peor momento posible. El protocolo debe incluir monitoreo, evaluación, escalación, respuesta y formación continua.
• La cooperación es la única respuesta. Empresas, instituciones, medios de comunicación y plataformas tecnológicas deben trabajar de forma coordinada.
Imagina que un lunes por la mañana te llaman de un medio de comunicación para preguntarte por un vídeo que circula en redes sociales en el que tu director general aparece recomendando un producto financiero de alta rentabilidad. La grabación parece auténtica, el tono de voz, el gesto, incluso el fondo de la oficina. Pero es completamente falsa. No es un escenario hipotético. Ya le ha ocurrido a personalidades como Rafa Nadal, Taylor Swift o Rosalía, entre otros muchos. Se trata de deepfakes, ataques cibernéticos que utilizan la inteligencia artificial para crear perfiles falsos y que ya están sufriendo organizaciones de todo el mundo.
Un dato que ilustra la escala del problema y la magnitud del riesgo es que uno de cada cuatro ejecutivos afirma haber sufrido al menos un ataque de deepfake en los últimos doce meses, según un estudio de Deloitte.
¿Qué es un deepfake y por qué debe preocuparte como empresa?
Un deepfake es un contenido audiovisual falso —vídeo, imagen, voz o texto— generado o manipulado mediante inteligencia artificial. La tecnología ha avanzado tan rápido que hoy basta con tres segundos de audio para clonar una voz con precisión suficiente como para engañar a colegas, clientes o medios de comunicación.
Las modalidades son múltiples: vídeos falsos realistas, llamadas telefónicas con voz sintética, imágenes generadas desde cero, documentos falsificados, perfiles sintéticos en redes sociales o sitios web clonados de empresas reales. Lo más preocupante es que estos elementos, cuando se combinan en una campaña orquestada —lo que los expertos denominan amenazas híbridas—, se vuelven extraordinariamente difíciles de detectar y de contrarrestar, como explicó Carlos Relloso, director de Global Marketing and Transformation de Banco Santander.
El papel de las pymes: más vulnerables de lo que creen
Si eres responsable de una empresa mediana o pequeña, es posible que pienses que los deepfakes son un problema solo de las grandes corporaciones. Sin embargo, esto es un error. Las pymes son el eslabón más débil de la cadena y los ciberdelincuentes las utilizan como caballo de Troya para atacar a grandes compañías.
Las pymes son vulnerables por tres razones principales:
• Tienen menos recursos destinados a ciberseguridad y gestión de la reputación digital que las grandes corporaciones.
• Sus directivos y empleados suelen tener menor formación en este tipo de amenazas.
• Con frecuencia son el objetivo indirecto de ataques dirigidos a clientes más grandes.
La responsabilidad de proteger los datos propios y los de sus clientes recae sobre cada organización, independientemente de su tamaño. Si la seguridad de un proveedor se ve comprometida por un ataque de este tipo, puede ser la puerta de entrada a una crisis que afecte a toda la cadena de valor.
Los cinco pilares de la gestión de crisis por deepfakes
Para que una empresa esté preparada frente a este tipo de amenazas, necesita activar un modelo de respuesta estructurado en torno a cinco ejes, como explicaron los ponentes que participaron en la jornada:
1. Monitoreo y detección temprana. La gestión de la reputación digital debe incluir sistemas de alerta que rastreen menciones de la marca, la imagen de directivos y el uso no autorizado de contenidos corporativos en redes sociales, plataformas de vídeo y medios digitales. Detectar un ataque en las primeras horas es determinante para limitar su impacto.
2. Evaluación del impacto real. Ante una crisis reputacional por deepfake, el primer error es escalarla directamente a la cúpula directiva sin haber evaluado antes el alcance real. ¿Cuántas personas han visto el contenido? ¿En qué plataformas circula? ¿Ha aparecido ya en medios de comunicación? La respuesta debe ser proporcional al impacto.
3. Escalación y activación del protocolo. Toda organización necesita tener definido de antemano quién toma las decisiones, qué canales se usan para la comunicación interna de crisis y quiénes son los interlocutores externos: portavoces, asesores legales, redes sociales y coordinación con instituciones.
4. Respuesta y comunicación pública. La transparencia, la rapidez y la coherencia son los tres atributos de una comunicación de crisis eficaz. Hay que desmentir con hechos verificables, indicar claramente qué ha ocurrido, qué se está haciendo al respecto y qué canales oficiales son los únicos fiables. Los medios de comunicación son aliados en este proceso.
5. Capacitación y concienciación continua. Los empleados son la primera línea de defensa, pero también pueden ser el punto de entrada de un ataque si no están preparados. Por eso, la formación permanente en estos temas es crucial. La concienciación debe extenderse también a clientes y partners estratégicos.
El deepfake es un problema colectivo
La jornada incluyó también una mesa redonda que contó con Esperanza Pamplona, subdirectora de Desarrollo Digital en Heraldo de Aragón; Carlos Fernández Allén, responsable de Digitalización y Data Driven de Comunicación y Marca en Repsol; Sara Redondo, Global Organization, Compliance & Sustainability Director de Hiberus; y José María Palomares, vicepresidente del Foro IA.
Las principales ideas que destacaron los ponentes fueron:
• Los riesgos tecnológicos derivados de amenazas híbridas pueden desencadenar fácilmente en riesgos reputacionales para empresas e instituciones.
• Los deepfakes no pueden combatirse de forma aislada, por lo que la colaboración entre empresas, la comunicación con instituciones públicas y el trabajo conjunto son parte indispensable de cualquier estrategia de respuesta eficaz.
• Los medios de comunicación, por su parte, son frecuentemente las primeras víctimas de estos fraudes y, al mismo tiempo, son actores esenciales en la respuesta. Una verificación periodística rápida puede frenar la viralización de un contenido falso antes de que cause daños irreparables.
• Frente a una crisis reputacional, las organizaciones tienen que construir una relación consistente, coherente y de confianza a lo largo del tiempo con clientes y público. Si esa relación no existe de antemano, será mucho más difícil frenar la crisis.
Para Nacho Torre, director de Estrategia, Transformación y Dato de Ibercaja, la IA trae progreso, pero también riesgos según el uso que hagamos de ella. Por eso, iniciativas como IAON y el Foro IA trabajan para poner criterio, herramientas, debate y reflexión sobre la ética y la responsabilidad en el uso de la inteligencia artificial.
