X-twitter Facebook Instagram Linkedin Youtube
Deepfakes, urgencia y jerarquía – ORH
Ciberseguridad · Cultura organizacional

Deepfakes, urgencia y jerarquía:
cuando la cultura se convierte en vulnerabilidad

La IA no solo mejora los ataques: amplifica los sesgos culturales que ya existían en las organizaciones. El factor humano nunca ha sido tan determinante.

Por Esther Almendros · Dircom de ISACA en Europa  |  Opinión
96%
de organizaciones europeas consideran los fraudes por IA una preocupación activa
51%
de profesionales IT/ciberseguridad europeos anticipan ataques IA como amenaza principal a corto plazo
Minoría
se siente preparada para afrontar ataques impulsados por IA

Fuente: AI Pulse Poll de ISACA

El riesgo que nadie nombra en los comités de seguridad

En 2026, los mayores riesgos tecnológicos para la mayoría de las empresas no serán una brecha en los sistemas ni un fallo técnico. Será la cultura desde la que se toman decisiones bajo presión.

Los sesgos culturales son esos puntos ciegos que normalizamos en el trabajo: no cuestionar al jefe, actuar rápido para no frenar el negocio o asumir que una llamada basta para validar algo importante. Son hábitos que en condiciones normales parecen síntomas de eficiencia. Pero en un entorno donde la IA puede replicar voces, rostros y urgencias con precisión inquietante, esas dinámicas se convierten en una puerta de entrada perfecta para el fraude.

«El atacante ya no necesita saltarse un control tecnológico. Le basta con activar una dinámica humana que ya existe dentro de la empresa.»

Durante años, la ciberseguridad se trató como un riesgo puramente técnico: doble factor, formación obligatoria, protocolos. Sin embargo, la irrupción de los deepfakes y las estafas asistidas por IA están dejando al descubierto una realidad incómoda: el riesgo ya no reside solo en la tecnología, sino en la forma en la que las personas actúan dentro de las organizaciones.

¿Tu organización tiene estos sesgos?

Marca las dinámicas que reconoces en tu empresa. Al finalizar, analiza el nivel de exposición cultural al riesgo.

  • Las órdenes que llegan «de arriba» raramente se cuestionan, aunque generen dudas.
  • La urgencia es un argumento habitual para saltarse pasos de verificación.
  • Frenar una decisión para verificarla se percibe como falta de compromiso o desconfianza.
  • Los líderes suelen comunicar en modo unidireccional, sin espacio real para el cuestionamiento.
  • Ante un incidente de seguridad, la respuesta inmediata tiende a buscar al empleado que «falló».
  • La gestión del riesgo digital recae casi exclusivamente en el departamento de TI.
Exposición baja: cultura con buenos reflejos críticos Tu organización muestra resistencia a las dinámicas más habituales de manipulación. Aun así, mantén la vigilancia: los sesgos culturales evolucionan con la presión del negocio.
Exposición media: hay puntos ciegos relevantes Algunas dinámicas de tu cultura organizacional podrían ser explotadas en un ataque de ingeniería social con IA. Conviene revisar protocolos de verificación y abrir conversaciones sobre quién tiene permiso para frenar y preguntar.
Exposición alta: la cultura es una superficie de ataque Tu organización reproduce la mayoría de los patrones que los atacantes explotan mediante deepfakes e ingeniería social. La ciberseguridad debe dejar de ser solo una conversación técnica: es una conversación cultural y de liderazgo.

La anatomía de un ataque que ya no necesita hackear nada

La suplantación de CEOs y directivos mediante deepfakes —recreación de su voz o imagen en vídeos falsificados— es la evolución natural del ya clásico email del CEO. Pero esta variante es más difícil de detectar porque no apela al desconocimiento técnico de quien lo recibe, sino a las reglas informales del trabajo.

El mensaje no llega como un archivo sospechoso. Llega como la voz de tu director, con el tono que le conoces, con la urgencia habitual de un cierre de trimestre, pidiendo que muevas un pago antes de las tres. Y en ese contexto, verificar la información se convierte en fricción. En algunas culturas corporativas, en desconfianza.

«El problema raramente es individual, sino organizativo. Culpar al empleado que ‘cayó’ es una explicación cómoda, pero incompleta.»

Las últimas corrientes de psicología del comportamiento lo explican: bajo presión y autoridad, las personas tienden a activar respuestas automáticas. Es humano. La diferencia real está en lo que hace la organización con esa realidad.

Para entender mejor
¿Qué es exactamente la confianza digital y por qué importa ahora?
+
La confianza digital es la certeza que empleados, clientes y socios tienen de que los sistemas, procesos y decisiones digitales de una organización son seguros, fiables y responsables. No es un indicador técnico: es un activo reputacional y operativo. Sin ella, la tecnología no escala, la reputación se resiente y el negocio se vuelve más frágil ante crisis. La paradoja es que se construye despacio —con consistencia, transparencia y liderazgo visible— y se destruye en segundos: un deepfake convincente, una transferencia no verificada, un incidente mal gestionado.
¿Por qué RRHH tiene un papel clave aquí?
+
RRHH diseña los entornos donde se forman los hábitos: qué se premia, qué se penaliza, cómo se gestiona el error, cómo se comunica el liderazgo. Si la cultura premia la velocidad sobre el criterio, o la deferencia sobre el cuestionamiento, RRHH tiene tanto que decir en el mapa de riesgo como el CISO. Gestionar el riesgo digital ya no puede delegarse únicamente en TI. Implica a la alta dirección, a RRHH y a los líderes de equipo, no como audiencia de la ciberseguridad, sino como parte activa de la solución.
¿Qué es un deepfake y cómo se usa en fraude corporativo?
+
Un deepfake es contenido audiovisual —voz, vídeo o ambos— generado o manipulado mediante IA para suplantar la identidad de una persona real. En el contexto del fraude corporativo, los atacantes crean grabaciones falsas de directivos dando instrucciones urgentes: transferencias, cambios de proveedor, acceso a datos sensibles. La sofisticación actual permite clonar la voz de una persona con pocos minutos de audio de referencia. El resultado es un mensaje que supera con facilidad los filtros perceptivos de cualquier empleado que no haya sido entrenado específicamente para reconocer estas señales.

La conclusión incómoda

Una empresa puede invertir mucho en seguridad y, aun así, debilitar su confianza digital si su cultura penaliza el cuestionamiento o glorifica la urgencia por encima del criterio. En la era de la IA, el riesgo no siempre entrará por internet. A veces lo hará por un gesto automático, por una urgencia mal entendida o por una orden que nadie se atreve a cuestionar.

Esther Almendros Garrido

Dircom de ISACA en Europa.

Compartir

Entradas relacionadas

El artículo que lo cambió todo: The War for Talent
Francisco Puertas

/

¿AlienIA? Por algo Ripley no se fió de MADRE
Maite Sáenz

/ /

El dilema de Aquiles (11): ¿Evaluados por una IA neutral?
Yolanda Romero

SUSCRÍBETE AL BOLETÍN

Suscríbete a nuestro boletín y ejerce la libertad de aprender.

CONTACTA CON NOSOTROS

HAZ TU CONSULTA Y CONTACTAREMOS CONTIGO A LA MAYOR BREVEDAD​