La IA generativa ha puesto el mundo patas arriba y no hay señales de que su popularidad vaya a disminuir. Bien utilizada ofrece grandes beneficios, pero los delincuentes también empiezan a recurrir a ella para ejecutar ataques más inteligentes y difíciles de detectar.
En este contexto, el sector bancario tiene un gran reto por delante. Todo este desarrollo tecnológico le obliga a replantearse sus estrategias de ciberseguridad ya que estamos viendo como los bancos son cada vez más víctimas del fraude, sobre todo a través de deepfakes, robos de identidad digital y uso de documentos de identidad falsos creados mediante IA generativa capaces de eludir los sistemas de verificación y autenticación.
Por ejemplo, a principios de este año, un empleado en una empresa multinacional fue engañado para que pagara 25 millones de dólares a unos estafadores que utilizaron tecnología deepfake para hacerse pasar por el director financiero de la empresa durante una videoconferencia. Los delincuentes consiguieron invitar al empleado para que asistiera a la videollamada junto a quienes él creía que eran otros miembros del personal, pero que en realidad eran recreaciones deepfake.
Este alarmante suceso es cada vez más común, ya que los delincuentes están encontrando lagunas para sortear y manipular los protocolos de seguridad. Cuando una empresa sufre una estafa de gran repercusión mediática basada en la IA generativa, no solo se enfrenta a la pérdida de confianza de sus clientes y a grandes multas, sino que también afecta a todo el sector, que corre el riesgo de sufrir daños en su reputación.
¿Qué pueden hacer los bancos para mitigar estos riesgos?
Ante todo, es fundamental que impartan una formación eficaz a los empleados. Estos deben considerarse siempre la primera línea de defensa contra los ataques deepfake. Es importante proporcionarles una orientación y formación continua sobre las últimas prácticas recomendadas en materia de ciberseguridad, cómo se utilizan los deepfakes y cómo reconocerlos. También se les debe asesorar sobre cómo responder si se sospecha de un deepfake para evitar daños mayores.
Los bancos deben asegurarse de que sus empleados constituyen un cortafuegos humano eficaz y, para ello, deben adoptar un enfoque “mentalidad, conocimientos, herramientas”. Es decir, deben ser capaces de sensibilizar a los empleados sobre las crecientes amenazas cibernéticas (mentalidad), combinar la formación con simulaciones (conocimientos) y poner a su disposición las herramientas necesarias para que se comporten de forma segura (herramientas).
Por otro lado, aunque los bancos ya cuentan con determinadas medidas de seguridad, ahora deben implementar también nuevos protocolos y procesos para garantizar que los activos más sensibles, como las contraseñas, los datos y la operativa financiera básica, estén totalmente protegidos. En este sentido, el uso de contraseñas complejas y la autenticación multifactorial (MFA) son elementos fundamentales. Y es que, aunque es habitual que los usuarios utilicen contraseñas sencillas porque son más fáciles de recordar, es importante hacerles entender que también son más fáciles de piratear. Si nos aseguramos de que todos los empleados trabajan con contraseñas complejas y con la longitud suficiente, estaremos impidiendo que los ciberdelincuentes accedan a los sistemas de la empresa. Además, se debe exigir a los trabajadores que utilicen una MFA y/o Passkeys como barrera de seguridad adicional.
Otra estrategia complementaria para prevenir los deepfakes y mejorar la seguridad es restringir los intentos de inicio de sesión. En ocasiones, los ciberdelincuentes se limitan a probar multitud de contraseñas comunes con la esperanza de adivinar la correcta. Por ese motivo, si restringimos los intentos de inicio de sesión, podremos detectar estas prácticas fácilmente, que suelen ser uno de los primeros indicadores de un ataque en curso.
También es importante supervisar los patrones de inicio de sesión y alertar a los equipos adecuados cuando se produzca una actividad sospechosa. Si los delincuentes utilizan la IA generativa y los deepfakes en su beneficio, los bancos también deben estar al tanto de las nuevas tendencias y poner en marcha procesos internos sólidos para protegerse de posibles daños.
Por último, es imprescindible restringir los permisos, ya que un enfoque no lo suficientemente estricto sobre quién puede acceder a qué puede provocar graves filtraciones. Los permisos deben gestionarse en función de las necesidades concretas de cada empleado y, a su vez, deben auditarse y actualizarse periódicamente para que todo sea lo más hermético posible.
En definitiva, siempre es mejor estar preparado para lo peor, que tener que improvisar una vez que ya se ha producido un ataque. Contar con un plan de respuesta sólido, que incluya el cumplimiento regulatorio sobre deepfakes, la recuperación de las infraestructuras críticas, el aislamiento de los sistemas o el establecimiento de una jerarquía clara para la toma de decisiones, minimiza los riesgos financieros, legales y de reputación de los bancos.
La IA generativa no solo se está utilizando para reforzar la ciberseguridad, sino que, por el contrario, es una nueva vía para crear ataques cada vez más sofisticados. Por eso es fundamental que el sector bancario sepa aprovechar las ventajas de esta revolucionaria tecnología para hacer frente a los ciberdelincuentes que ya la están utilizando.
Tribuna de Carlos Vieira, director general de Hornetsecurity para Iberia, Italia y Latinoamérica.
Por Funds Society, Madrid
