Fraude con deepfakes en la empresa: cuando el CEO en la llamada no es el CEO

En febrero de 2024, un responsable financiero en Hong Kong transfirió 25 millones de dólares tras una videollamada con el supuesto director financiero. Todos los participantes en la llamada eran deepfakes. Este caso marca un punto de inflexión: el ingenio social ya no se limita al correo electrónico ni al teléfono. La IA hace posible el fraude de identidad en tiempo real.

En resumen

• Fraude con deepfake de 25 millones de dólares en Hong Kong (febrero de 2024)
• La clonación de voz requiere solo 3 segundos de material de audio (Microsoft VALL-E)
• Tasa de detección de deepfakes por personas: menos del 50 por ciento
• Pérdidas por fraude de CEO en 2023: 2.700 millones de USD a nivel mundial (FBI IC3)

Del correo de phishing a la videollamada con deepfake

El fraude clásico de CEO se realiza por correo electrónico: «Transfiera inmediatamente 200.000 EUR a esta cuenta, confidencialmente». La tasa de éxito ha disminuido con la mayor concienciación. Los deepfakes elevan el juego a un nuevo nivel: cuando el CEO llama personalmente – por video o teléfono – , la desconfianza disminuye drásticamente.

La tecnología es sorprendentemente accesible. La clonación de voz con herramientas como ElevenLabs o Resemble AI produce copias vocales convincentes a partir de pocos segundos de audio. Los deepfakes de video en tiempo real son más complejos, pero para objetivos de alto valor, el esfuerzo merece la pena.

La anatomía de un ataque con deepfake

El caso de Hong Kong siguió un patrón: primero un correo de phishing como preparación, luego la invitación a una videollamada urgente. En la llamada aparecieron varias personas – todas generadas por IA. El entorno familiar (Teams/Zoom), rostros conocidos y la dinámica grupal eliminaron cualquier desconfianza.

La preparación utiliza datos disponibles públicamente: perfiles de LinkedIn, entrevistas en YouTube, apariciones en podcasts y páginas web corporativas, que proporcionan el material de entrenamiento para voz y apariencia.

Por qué la detección técnica (todavía) no es suficiente

La detección de deepfakes es una carrera armamentista. Los detectores actuales analizan artefactos: parpadeo antinatural, iluminación inconsistente, desincronización entre audio y video. Pero cada nueva generación de modelos reduce estos artefactos. La tasa de detección por parte de personas está por debajo del 50 por ciento – apenas mejor que lanzar una moneda al aire.

Existen soluciones técnicas en desarrollo (procedencia de contenido, estándar C2PA, marcas de agua digitales), pero aún no están disponibles de forma generalizada. A corto plazo, el proceso humano sigue siendo la principal defensa.

Gobernanza de procesos: defensas prácticas, no solo tecnología

La defensa más eficaz: principio de las cuatro miradas para todas las transacciones financieras por encima de un umbral, llamada de verificación por un canal independiente («Le devuelvo la llamada a su número de oficina»), palabras clave acordadas previamente para instrucciones sensibles y la regla clara: ninguna videollamada ni llamada telefónica por sí sola autoriza un pago.

Estos procesos no tienen coste y se pueden implementar inmediatamente. Son la única defensa que también funcionará contra deepfakes futuros, más perfectos – porque verifican la identidad a través de un segundo canal independiente.

Datos clave

Caso de Hong Kong: 25 millones de USD en pérdidas por videollamada con deepfake (febrero de 2024)

Fraude de CEO en total: 2.700 millones de USD en pérdidas en 2023 (Informe FBI IC3)

Clonación de voz: 3 segundos de audio son suficientes para una copia vocal convincente (VALL-E)

Preguntas frecuentes

¿Puedo detectar deepfakes?

Es difícil. Observe: movimientos labiales antinaturales, cambios extraños en la iluminación, ausencia de micro-movimientos faciales, ligera demora en el audio. Pero: nunca confíe únicamente en esto – utilice siempre un segundo canal de verificación.

¿Estamos afectados como empresa de tamaño medio?

Sí. El esfuerzo para la clonación de voz es mínimo. Incluso sin deepfake de video, basta una llamada convincente «del director general» a la contabilidad. La barrera baja cada día. Las medidas de protección procesales son relevantes para cualquier tamaño de empresa.

¿Ayuda un seguro cibernético en caso de fraude con deepfake?

Depende de la póliza. Muchos seguros cibernéticos cubren daños por ingeniería social, pero con límites parciales (a menudo entre 250.000 y 500.000 EUR). El fraude de CEO a veces está cubierto bajo pólizas de Crime/Fidelity. Revise su contrato para ver si menciona explícitamente «fraude de identidad» o «ingeniería social».

Artículos relacionados

• Tendencias de ciberseguridad 2026: Los 7 desarrollos que deben conocer los responsables de seguridad
• Guerra híbrida y desinformación: La amenaza cibernética subestimada para las empresas
• Palantir y el futuro de la defensa cibernética: La IA como arma estratégica

Más del ecosistema MBF Media

• Cloud Magazin – Cloud, SaaS e infraestructura IT
• myBusinessFuture – Digitalización, IA y negocio
• Digital Chiefs – Liderazgo estratégico a nivel C

Fuente de imagen: Pexels / Markus Winkler

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow