Por: Ing. Luis Alejandro Cepeda. CIE- AF. Colaborador de Auditool.
La inteligencia artificial (IA) ha revolucionado el panorama empresarial, ofreciendo herramientas y soluciones avanzadas que impulsan la eficiencia y la innovación. No obstante, esta tecnología también ha abierto nuevas puertas para el fraude.
A medida que la inteligencia artificial es “para todos”, los estafadores y ciberdelincuentes aprovechan las capacidades de estas herramientas ejecutando rutinas cada vez más sofisticadas. Dicho esto, la auditoría comienza a tener un papel cada vez más importante aodptando medidas para la mitigación de estos riesgos emergentes.
En noticias recientes se documentó como en Hong Kong un trabajador financiero de una empresa multinacional fue engañado para transferir USD$25 Millones a estafadores que utilizaron una “DeepFake” para hacerse pasar por un directivo financiero de la compañía mediante una videoconferencia. Lo que parecía ser una llamada legitima con colegas resultó siendo una gran estafa usando imágenes y videos públicos.
Este incidente no es un caso aislado, hace parte de muchos otros donde no solo los estafadores sino también muchos servicios internacionales ofrecen realizar este tipo de videos de manera gratuita.
A continuación, los tres tipos de fraude desarrollados hasta el momento:
Fraude de identidad/suplantación | Uso de deepfakes para hacerse pasar por personas de confianza. |
Documentos y datos falsos | Creación de documentos y datos falsos que parecen reales y creíbles. |
Ataques de phishing sofisticados | Phishing a gran escala utilizando IA para personalizar y automatizar los ataques. |
¿Qué pueden hacer las empresas para mitiga el riesgo de acuerdo con esta situación en particular?
- Identificación de áreas vulnerables: Las organizaciones deben comenzar a identificar las áreas de negocio vulnerables a la tecnología de IA. Esto incluye cómo interactúan con los clientes, tanto en línea como por teléfono, y si hay fotos o videos del personal disponibles públicamente que puedan ser explotados.
- Desarrollar un "estilo de comunicación": Crear un estilo distintivo para las comunicaciones corporativas puede dificultar la emulación por parte de la IA. Añadir elementos como ruido de fondo o música a los videos puede ayudar a autenticar el contenido y hacer más difícil la falsificación.
- Uso de Herramientas de Detección de IA: Las organizaciones deben utilizar herramientas de IA para detectar anomalías. En casos de grabaciones de voz clonadas o deepfakes, las banderas rojas pueden incluir patrones o entonaciones inusuales en el lenguaje. Herramientas como búsquedas inversas de imágenes, sitios web de verificación de hechos y software de detección de deepfakes pueden ser útiles para analizar y verificar el contenido.
- Capacitar a sus empleados: Es esencial educar a los empleados sobre los signos de fraude con IA y qué hacer cuando reciban solicitudes sospechosas.
¿Qué rol debe desempeñar la Auditoría Interna ante estos riesgos emergentes?
Evaluación de amenazas |
Evaluación continua |
|
|
Controles multicapa | Simulación de ataques |
|
|
Es vital que las empresas adopten estos enfoques pues es una nueva realidad ineludible. Es importante la combinación de herramientas avanzadas de detección de IA sumado a las competencias humanas y su pragmatismo con el objetivo de construir bases sólidas y protegerse contra estos ataques. La auditoría juega un papel no menos importante de cara a la actualización en sus procedimientos y evaluación de normas que encaminen a la implementación de controles robustos. Al estar bien informados y proactivos, los auditores pueden ayudar a las organizaciones a mantenerse un paso adelante de los estafadores emergentes apalancados en la inteligencia artificial.
Instructor: Ing. Luis Alejandro Cepeda
Ingeniero Industrial, especialista en finanzas, certificado como experto antifraude y magister en Inteligencia Analítica de Datos de la Universidad de los Andes.
Durante los últimos 12 años se ha desempeñado como auditor interno en firmas Big Four y compañías del sector público y privado, apoyando procesos de auditoría, control interno, gestión de riesgos e investigación forense para clientes de sectores tales como: oil and gas, logístico, manufacturero y aeronáutico.