Deepfakes e IA: la nueva amenaza que está redefiniendo el fraude de identidad en las empresas

Por: Gabriel Lobitsky, general manager de One Identity en América Latina

A comienzos de 2024, el director financiero de una multinacional en Singapur participó en lo que parecía ser una videoconferencia rutinaria con sus superiores. El CFO estaba presente. Otros líderes también. Todos los rostros y voces eran familiares. Pero nada de eso era real. En pocos minutos, el ejecutivo autorizó la transferencia de casi medio millón de dólares, siguiendo instrucciones de un grupo de impostores creados con inteligencia artificial.

El caso se convirtió en uno de los ejemplos más contundentes de una amenaza que evoluciona más rápido que la capacidad de muchas organizaciones para comprenderla. La tecnología de deepfake, antes vista como un truco digital de baja calidad, ha madurado hasta convertirse en un arma criminal capaz de engañar a gran escala. Esta no es solo una historia sobre fraude: es una historia sobre identidad. Los deepfakes han redefinido lo que significa confiar en quien está del otro lado de la pantalla.

La vulnerabilidad que no se corrige con un firewall

El impacto de los deepfakes es devastador porque expone una fragilidad que ningún firewall ni capacitación resuelven: la suposición de que la presencia humana equivale a la verdad. La IA generativa ha reducido drásticamente la barrera para crear falsificaciones audiovisuales convincentes, permitiendo que los delincuentes escalen ataques de suplantación mediante llamadas, mensajes y flujos completos de trabajo.

Las señales que antes confirmaban autenticidad conversaciones en vivo, voces conocidas, rostros reconocibles hoy son las más fáciles de falsificar. Si ver y escuchar ya no garantizan nada, ¿en qué lugar quedan las organizaciones?

De la autenticidad a la garantía

El debate sobre los deepfakes suele centrarse en la autenticidad de lo que vemos y oímos. Antes era sencillo identificar si una imagen o un video era legítimo, o si una grabación había sido manipulada. Eso se ha vuelto más difícil, pero el verdadero desafío es más profundo.

Todo caso de suplantación sintética es, en esencia, un problema de identidad. Cuando un estafador usa IA para reproducir la apariencia, la voz o la forma de escribir de alguien, no está falsificando contenido; está falsificando a una persona. Surge así un nuevo tipo de robo de identidad que no depende de contraseñas filtradas ni de violaciones de datos, sino de la capacidad de replicar la confianza misma.

No existe capacitación anti-phishing capaz de detener a un impostor que entra en una conversación luciendo y sonando exactamente como un colega.

Por eso, las empresas deben replantear la forma en que validan identidades en las interacciones digitales. En otras palabras: es momento de dejar de verificar el medio y empezar a verificar la entidad que está detrás.

Si la autenticidad ya no es solo la coincidencia de patrones visuales o de voz —fácilmente replicables—, pasa a depender de la validación del contexto en el que esos patrones ocurren. Los usuarios legítimos dejan huellas consistentes: integridad del dispositivo, ubicación, hábitos de comportamiento, patrones de acceso. Estas señales pueden evaluarse de forma continua.

Así, la seguridad de identidad deja de ser un punto de control estático y se convierte en un proceso dinámico. Al anclar la verificación en el contexto en tiempo real, las organizaciones se protegen no detectando cada píxel falsificado, sino confirmando que cada inicio de sesión, interacción o transacción proviene de una identidad comprobada.

Redefiniendo la confianza en un mundo sintético

Los deepfakes han obligado a los equipos de seguridad a replantear el propio concepto de confianza. La autenticación tradicional se apoya en credenciales fijas contraseñas, tokens, biometría  que asumen una relación estable entre persona e identidad. Pero cuando la IA puede replicar esas mismas señales, la verificación debe evolucionar.

En un mundo post-IA, los controles estáticos de identidad ofrecen apenas una fotografía momentánea, fácilmente vulnerable a réplicas sintéticas. El camino es una forma viva de garantía de identidad, basada en señales comportamentales, ambientales y contextuales mucho más difíciles de falsificar.

Las plataformas de identidad ya avanzan en esa dirección. Analizan la reputación del dispositivo, los patrones de sesión y el historial de comportamiento para crear una línea base de lo que es “normal”. Cuando surge una anomalía de acceso desde un dispositivo nuevo, una entonación de voz ligeramente distinta o un patrón de inicio de sesión atípico el sistema puede exigir pruebas adicionales o activar verificaciones reforzadas.

Así, en lugar de depender de la detección visual de cada deepfake, la organización valida la confianza de manera continua. La verificación deja de ser una puerta estática y se transforma en un mecanismo adaptativo de confianza, capaz de acompañar un riesgo que no deja de evolucionar.

La identidad es la nueva línea de frente

La identidad se ha convertido en la capa unificadora del control de la resiliencia cibernética. Cada interacción, transacción y solicitud de acceso pasa por el mismo canal de confianza, convirtiéndolo en el punto lógico para detectar y contener intentos de suplantación antes de que causen daños.

La frontera entre fraude, ciberseguridad y cumplimiento se está desdibujando. Las organizaciones ya comienzan a tratar la defensa contra los deepfakes como una responsabilidad compartida, y no como una función aislada.

Proteger datos o sistemas ya no es suficiente. El verdadero indicador de seguridad es la capacidad de demostrar quién o qué está operando dentro del entorno corporativo.

Esto exige una gobernanza basada en evidencias. Las empresas empiezan a reemplazar las certificaciones estáticas por validación continua, no solo declarando cumplimiento, sino demostrando ese cumplimiento mediante auditorías en tiempo real. Registran quién tuvo acceso, en qué contexto y por cuánto tiempo, creando un registro vivo de las decisiones de confianza.

Estos principios de zero trust también se extienden a las identidades no humanas. Agentes de IA, herramientas de automatización y bots digitales se multiplican en las redes y deben ser autenticados, autorizados y monitoreados como cualquier usuario humano, siguiendo el mismo principio de privilegio mínimo y verificación continua.

En un escenario donde la realidad puede ser sintetizada, la identidad deja de ser un simple componente técnico. Se convierte en la capa de verdad de las empresas: el punto donde los ataques se detienen y la confianza se preserva.