2024 está siendo un año electoral. De Washington DC a Nueva Delhi pasando por la Unión Europea o Reino Unido, en los próximos meses se celebrarán las elecciones que decidirán el panorama político de gran parte del mundo durante los próximos cinco años. También tendrán importantes consecuencias para la economía mundial y, por tanto, para las empresas que operan desde Londres a Madrid, pasando por Lahore. Pero hay una sombra en el horizonte.La desinformación/información falsa es ya una cuestión muy establecida en el mercado clandestino de la ciberdelincuencia. Y los agentes estatales que están tras ella están calibrando rápido sus propias capacidades. A medida que la tecnología de la IA mejore, se reducirá la barrera de entrada para que muchos más actores maliciosos lancen iniciativas de noticias falsas sofisticadas y a gran escala. Las organizaciones deben encontrar formas más eficaces de mitigar la amenaza.En qué creerLa IA generativa (GenAI) es una potente tecnología capaz de producir contenidos convincentes en un gran número de idiomas, como si los hubiera escrito un ser humano. La naturaleza humana confía en las similitudes. Otro individuo que comparte nuestra apariencia y estilo de comunicación nos resulta más familiar que un ‘extraño’ literal. La IA no solo entabla conversaciones con nosotros, sino que también es capaz de crear estos paralelismos. Por ejemplo, ChatGPT puede adoptar dialectos auténticos. Por lo tanto, posee la capacidad de que nos dejemos llevar por una sensación de familiaridad, similar a la conexión que nos gustaría tener con nuestros representantes políticos. Al utilizar estas capacidades, los actores de amenazas tienen la oportunidad de explotar un defecto de la humanidad. Lo cierto es que, al procesar la información entrante, tendemos a valorar la cantidad y la facilidad de comprensión. Así que cuantos más mensajes recibamos o contenidos leamos de naturaleza similar, y cuanto más fáciles de entender sean, mayor será la probabilidad de que los creamos. Por eso, los mensajes de marketing son deliberadamente breves y se repiten continuamente para causar impacto.Los ‘deepfakes’ generados por IA , en los que se manipula el audio o el vídeo para falsificar las palabras de otra persona, podrían hacer aún más convincentes estas campañas. Ya se ha utilizado en estafas del tipo «business email compromise» (BEC) con el fin de engañar a ejecutivos para que realicen transferencias de fondos siguiendo lo que ellos creen que son instrucciones de sus jefes. También podría utilizarse para eludir la verificación de la identidad del cliente, abriendo la puerta al fraude masivo. Igualmente, podría usarse para socavar la confianza en una marca o difundir promociones falsas.El reto es que ChatGPT y herramientas gratuitas como esta han democratizado la capacidad de crear este tipo de campañas. Con el arduo trabajo realizado, los creadores de noticias falsas tienen más tiempo para afinar sus mensajes y trabajar en la amplificación a través de múltiples canales para que sean escuchados. Lo preocupante es que pronto Internet pueda rebosar de contenidos falsos muy convincentes, hasta el punto de que resulte casi imposible distinguir la falsedad de la realidad. Se acercan las eleccionesEs una de las razones por las que la «información falsa y la desinformación» ocupan el primer lugar en el informe Global Risks Report 2024 del Foro Económico Mundial (FEM), como el riesgo más grave que enfrentarán los gobiernos, los ciudadanos y las organizaciones en los próximos dos años. También ocupa el segundo lugar en términos del panorama de riesgos actual, detrás del clima extremo. Esta parte del estudio fue compilada por 1.490 expertos del mundo académico, empresarial, gubernamental, la comunidad internacional y la sociedad civil.El desafío es que las elecciones en Estados Unidos, Reino Unido, India, la Unión Europea, Pakistán y otras partes del mundo este año se están viendo socavadas por campañas de noticias falsas. Estos intentos podrían tener como objetivo generar desconfianza hacia un partido político o candidato. Es más fácil convencer a alguien de que no haga algo que al revés. Entonces, si se puede convencer a los partidarios de un partido de que no salgan a votar sería una victoria de facto para sus rivales. En algunos casos, un actor estatal puede simplemente querer socavar la confianza en los resultados mismos, creando así una situación en la que quien gane no será visto como legítimo. Una vez más, si se puede producir y difundir suficiente contenido de noticias falsas con una narrativa similar, podría tener un impacto poderoso en el sentimiento de los votantes. Este tipo de historias podrían incluso acabar siendo las primeras que encontremos cuando buscamos noticias de última hora.Riesgo empresarial emergenteEl FEM advierte que un caos electoral de este tipo podría «ampliar las divisiones sociales y políticas», creando el tipo de perturbación e incertidumbre política y social que los negocios detestan. Pero más allá de esto, existen riesgos más directos para las organizaciones. En teoría, las campañas de desinformación y deepfakes impulsadas por IA podrían afectar a la lealtad de los clientes y el precio de las acciones al dañar la reputación de la marca. Pensemos en un vídeo ‘deepfake’ de un director ejecutivo que usa lenguaje racista o comparte detalles ‘secretos’ de una estrategia comercial.En un momento de intensas tensiones geopolíticas, ciertos estados pueden volverse hostiles a las marcas extranjeras que operan en su país. Se podrían llevar a cabo campañas de desinformación para convertir a dichas organizaciones en chivos expiatorios de las opiniones políticas que tienen los gobernantes de sus países de origen. Si los actores estatales no quieren ensuciarse las manos con tales operaciones, hay muchos grupos de cibercrimen y/o hacktivistas a quienes recurrir. Como se vio después de la invasión rusa de Ucrania, hay muchos individuos y grupos altamente motivados listos para atacar ‘al otro lado’, y ahora tienen las herramientas para hacerlo.Otro riesgo a gestionarEl mensaje es claro: los expertos en riesgos de TI y ciberseguridad deberían añadir la información errónea y desinformación a la lista cada vez más larga de riesgos corporativos materiales que deben monitorizarse y gestionarse. Esto debería comenzar con la protección de datos. Las noticias falsas siempre se venden mejor si contienen una pizca de verdad en su núcleo. Entonces, si los hackers obtienen información interna confidencial, podrían utilizarla para elaborar historias artificiales sobre la empresa que sean profundamente dañinas. Si algo sale a la luz, TI y seguridad deberían trabajar en estrecha colaboración con los equipos de relaciones públicas para ayudar a gestionar las consecuencias reputacionales. No debemos olvidar que el BEC es una ciberamenaza que generó más de 2.700 millones de dólares en 2022. Se deben implementar procesos para revisiones multipersonales de las principales transferencias de fondos y mejorar la formación y concienciación del personal. La mejora de la seguridad del correo electrónico y la respuesta a incidentes también podrían ayudar a mitigar el riesgo en este caso.En última instancia, la información falsa y la desinformación algún día podrían convertirse en la norma y no en la excepción. No faltan temas que aprovechar y prácticamente no hay ningún listón más bajo que saltar para empezar. En este 2024 y en adelante, gestionar el riesgo de la información no significará solo proteger datos confidenciales. También significa mitigar el riesgo de que se fabrique información.Raúl Guillén es director de estrategia en la empresa de ciberseguridad Trend Micro
Dejar una contestacion