'Deepfakes' de voz, los sofisticados clones saqueadores elevan el tono de su amenaza en las empresas

La distancia entre los 'deepfakes' y las suplantaciones clásicas es ya enorme. José Antonio Marcos, vicedecano de la Facultad Business & Tech de la UAX, explica que los audios generados con IA reproducen timbre, ritmo e incluso pequeños matices emocionales, «lo que los hace especialmente creíbles». Con apenas 30 segundos de grabación, señala, «puede construirse un clon sólido y generar después cientos de mensajes en poco tiempo». Ese realismo ha permitido fraudes como el que llevó a la ingeniería británica Arup a transferir más de 200 millones de dólares, o a un caso de estafa frustrado en Ferrari en el que había suplantado la voz de su CEO.

Esa capacidad de imitar una voz con tanto detalle no se limita al audio grabado. En ataques recientes ha aparecido un fenómeno más inquietante: las conversaciones en tiempo real. Luis Corrons, experto en ciberseguridad de Gen, comenta que la IA «puede modular la voz del estafador mientras avanza la llamada hasta que resulta casi indistinguible de la persona suplantada». El engaño se refuerza cuando el audio falso se combina con vídeo generado artificialmente, capaz de reproducir gestos y expresiones. Para Corrons, esa mezcla de inmediatez y apariencia natural convierte estos montajes en herramientas muy persuasivas y fáciles de reproducir.

Noticia Relacionada

La aviación busca una hoja de ruta para sortear las turbulencias del ciberdelito

Adrián Espallargas

La complejidad de un ecosistema que integra vuelos, logística, navegación y gestión de aeropuertos complica su blindaje

La naturalidad de estos montajes depende en buena medida de cómo se genera la voz que los sustenta. Miguel López, director para el Sur de EMEA en Barracuda Networks, explica que el proceso se ha vuelto tan accesible que «ya no hacen falta grabaciones extensas para obtener un modelo fiable». Fragmentos breves tomados de un mensaje de WhatsApp o de un vídeo en redes «aportan material suficiente para que la IA reconstruya un perfil sonoro convincente». Con esa mínima muestra, indica, el sistema produce la voz en apenas unos minutos y puede emplearla incluso durante llamadas reales.

En una empresa, el daño de un fraude con voz clonada va mucho más allá de la transferencia perdida. Paula Yanes, vicepresidenta y responsable de digital trust en Capgemini Invent, señala que «estos incidentes arrastran investigaciones internas, honorarios legales y reclamaciones que elevan la factura final». Incluso sin exposición pública, erosionan la confianza de clientes y proveedores. El impacto interno también pesa: la urgencia operativa «se sustituye por verificaciones constantes, lo que ralentiza tareas rutinarias y obliga a trabajar con estructuras más rígidas de lo habitual», explica.

Para Rafael Palacios, director de la Oficina de IA de la Universidad Pontificia Comillas y profesor en Comillas ICAI, detrás de estos fraudes «casi nunca hay improvisación». Aunque un individuo puede intentar un engaño aislado, «los casos que prosperan proceden de organizaciones que han reunido de antemano información detallada sobre la víctima para hacer su mensaje más convincente», explica el experto. Esa fase previa, añade, puede incluir pequeños contactos destinados únicamente a obtener pistas de la persona, la empresa o incluso del banco antes del ataque principal. En su experiencia, la motivación «es casi siempre económica, lo que impulsa la creciente profesionalización de estos grupos».

En los entornos corporativos, estos fraudes siguen un patrón que, pese al realismo de las voces clonadas, resulta reconocible para quien sabe dónde mirar. Miguel Ángel Thomas, responsable de ciberseguridad en NTT DATA, explica que los atacantes «suelen crear una urgencia artificial para que la acción 'se haga ya' y evitar cualquier verificación, a menudo desde canales poco habituales, como números desconocidos, audios de WhatsApp o videollamadas sin cámara». Estas comunicaciones «se apoyan en un guion rígido y emocionalmente plano, con pausas poco naturales, micro-latencias o respuestas incoherentes cuando la conversación se sale del script», explica Thomas.

La precisión de estas imitaciones complica cada vez más distinguirlas a simple oído. Eduardo Prieto, director general de Visa en España, comenta que «una voz falsificada puede sonar perfectamente natural incluso en situaciones que parecen rutinarias». Aun así, dice, suelen aparecer pequeñas señales, «como un ritmo que no termina de encajar o un leve desajuste cuando el fraude incluye vídeo».

Sin embargo, la ingente cantidad de material falso en circulación hace cada vez más difícil de diferenciar del real, dice Gastón Fornés, profesor de EAE Business School. Uno de los retos es que la inteligencia artificial se ha abaratado tanto que cualquiera puede generar audios o vídeos manipulados con herramientas automáticas», explica.

Los casos recientes muestran que estos engaños no afectan solo a grandes compañías. Corrons, de Gen, menciona que «los particulares siguen siendo un objetivo habitual, desde secuestros virtuales que imitan la voz de un familiar hasta supuestos agentes bancarios que piden claves o transferencias urgentes usando audios publicados en redes».

En el ámbito corporativo, Thomas, de NTT DATA, recuerda que las áreas de finanzas, tesorería o compras suelen estar en primera línea, sobre todo cuando la comunicación llega por canales poco habituales. López, de Barracuda Networks, añade que «algunas de las estafas más sofisticadas han logrado provocar transferencias millonarias con órdenes falsas enviadas en nombre de directivos».

A simple oído, un voice deepfake puede parecer impecable, y por eso conviene fijarse en pequeños detalles. Marcos, de la UAX, hace hincapié, al igual que ya comentó Prieto, de Visa, que la IA es capaz de replicar timbre y ritmo con enorme precisión, pero rara vez logra la espontaneidad de una voz real.

Protegerse pasa por ajustar hábitos y procesos internos. Yanes, de Capgemini Invent, insiste en añadir «una verificación adicional en cualquier solicitud sensible y en enseñar a los equipos a frenar antes de reaccionar». López, de Barracuda Networks, propone reforzar esos reflejos con autenticación multifactor y simulacros que reproduzcan ataques de voz. Y Prieto recomienda «detenerse unos segundos y confirmar la información por un canal distinto». Esa sigue siendo una vía sencilla, pero decisiva, para evitar un fraude.

Al mismo tiempo, la inteligencia artificial también está permitiendo mejorar las defensas de las empresas. Desde Visa, Prieto indica que ya está siendo utilizada para detectar patrones anómalos en pagos y accesos internos, identificando operaciones que no encajan con el comportamiento habitual del usuario y bloqueándolas antes de que el fraude se complete.

Estos sistemas analizan miles de señales en tiempo real y permiten frenar intentos que, a simple oído, resultarían prácticamente indetectables. Aun así, los expertos coinciden en que no existe una protección infalible.

El avance de los 'deepfakes' y la democratización de las herramientas obligan a convivir con un entorno más incierto, en el que la verificación se vuelve una rutina imprescindible. La tecnología ayuda, pero no sustituye la prudencia, Detenerse, revisar y confirmar seguirá siendo, durante bastante tiempo, la forma más eficaz de no caer en un engaño que suena demasiado real.