Dirección de la oficina
Sevilla, España
Sevilla, España
Número de teléfono
+(34) 624 816 969
Dirección de correo electrónico
Disponible en Google Play
Sevilla, España
Sevilla, España
+(34) 624 816 969
by ForgeNEX El fraude corporativo ha entrado en una nueva era. Ya no se trata de un correo phishing con errores ortográficos o una llamada telefónica con una voz sospechosa. Los deepfakes han convertido la suplantación de identidad en un arma de precisión milimétrica, capaz de engañar incluso a los empleados más formados. Según Ben Jacob, responsable técnico para EMEA en el Sophos Red Team, “los deepfakes han dejado de ser una amenaza teórica para convertirse en un vector de ataque plenamente operativo en el entorno empresarial”. Y los datos lo confirman: el 62% de las empresas sufrió ataques impulsados por IA durante el último año, siendo los deepfakes de audio el vector más frecuente, con un 44% de organizaciones afectadas. En un 6% de los casos, el ataque derivó en pérdidas financieras, interrupciones del negocio o robo de propiedad intelectual. Los ataques de vídeo también van en aumento, afectando ya al 36% de las organizaciones consultadas.
Tabla de contenidos [Mostrar]
En febrero de 2024, un empleado de una multinacional con sede en Hong Kong transfirió 24 millones de euros tras ser engañado en una videoconferencia con ejecutivos falsos generados por IA. En enero de 2026, un grupo de atacantes clonó la voz de un CEO suizo para autorizar una transferencia multimillonaria. Estos no son casos aislados: el 85% de las empresas tuvo al menos un incidente relacionado con deepfakes en los últimos doce meses, según datos de Chainalysis. La pérdida media por incidente en 2024 fue de 500.000 dólares, y en el primer trimestre de 2025 ya se documentaron más incidentes que en todo 2024. Las proyecciones de Deloitte son aún más alarmantes: pasar de 12.300 millones de dólares en pérdidas en 2024 a 40.000 millones en 2027. Como reflexiona Juan Cornago, director de Ciberseguridad de Babel: “Una industria que triplica ingresos en doce meses con el cliente objetivo al 5% de preparación no tiene la forma de un fenómeno emergente sino de un mercado consolidado. Quien siga discutiendo si esto pasa, lleva un año largo de retraso o no lo quiere entender”.
Lo que resulta especialmente alarmante es que estos ataques no requieren infraestructura sofisticada. Según Eutimio Fernández, director regional de Ventas para Iberia en Thales Cybersecurity Products, “con tan sólo tres segundos de voz o una fotografía de buena calidad, un atacante puede clonar la identidad de un directivo de forma convincente”. El Thales 2026 Data Threat Report confirma que casi el 60% de las empresas consultadas afirma haber sufrido incidentes relacionados con deepfakes, y el 48% han experimentado daños derivados de desinformación generada por IA. Gorka Sainz, director de Ingeniería de Sistemas de Fortinet Iberia, añade que “la principal diferencia es que la tecnología para llevar a cabo este tipo de ataques no estaba al nivel actual, ni al alcance de todos, y una ejecución satisfactoria requería de un componente de ingeniería social muy elevado”. Ahora, cualquier persona con acceso a herramientas de IA generativa puede crear deepfakes convincentes.
Juan Cornago explica que el fraude corporativo no es nuevo, sino que lo es la ecuación de riesgo del atacante. “Cada generación tecnológica ha bajado la barrera de entrada y ha multiplicado el daño por intento”. La primera oleada seria fueron los BEC (Business Email Compromise), correos de un dominio casi idéntico al del CEO pidiendo una transferencia urgente. Después llegó el vishing (Voice Phishing), más caro de producir pero con mayor eficacia. Ahora nos encontramos en la tercera fase: el deepfake audiovisual. Basta con tres segundos de audio para clonar una voz con un 85% de coincidencia, según el McAfee Deepfake Audio Study. El servicio existe en formato suscripción desde cinco dólares al mes. “Arup perdió 25 millones en febrero de 2024. Una compañía del Fortune 500 perdió 28 millones en una sola llamada en enero de 2026. Lo que antes requería un actor, ahora lo monta un script”, sentencia Cornago.
“El problema no es que el deepfake sea perfecto, sino que la defensa que nos quedaba, confiar en lo que vemos y oímos, ha desaparecido”, reconoce Juan Cornago. Las herramientas de detección alcanzan el 96% de acierto en laboratorio, pero una vez desplegadas en el mundo real ese acierto desciende hasta el 50-65% según Brightside AI. “Bajo un ataque dirigido, donde el atacante ha probado el deepfake contra la herramienta antes de lanzarlo, la caída puede superar el 99%”, añade. Y las personas tampoco son un buen filtro: el University College London midió que identificamos correctamente un deepfake de calidad sólo el 24,5% de las veces. Martin Zugec, director de Soluciones Técnicas de Bitdefender, señala que “la detección siempre es reactiva, y la tecnología de generación está actualmente por delante”. Por eso, la pregunta estratégica no es “¿cómo detectamos los deepfakes?”, sino “¿cómo diseñamos procesos que no dependan de la autenticidad visual o auditiva?”.
Raúl Núñez, director de Preventas de TrendAI Iberia, determina que la detección en tiempo real sigue siendo el talón de Aquiles. Las herramientas actuales funcionan razonablemente bien con deepfakes de baja calidad, pero los modelos más avanzados de síntesis de voz e imagen los superan con frecuencia. “Tenemos que ser conscientes que a la vez que nosotros avanzamos en la protección, la IA desarrolla mejoras prácticamente día a día. La brecha entre generación y detección se amplía a medida que la IA generativa avanza más rápido que las defensas”. Ninguna solución tecnológica por sí sola ofrece garantías suficientes hoy. La tecnología debe combinarse obligatoriamente con controles de proceso.
Como primer paso, Ben Jacob recomienda a las empresas asumir que ninguna orden de transferencia de fondos puede considerarse legítima si llega por un único canal. “Las organizaciones deben establecer como norma irrenunciable la confirmación obligatoria a través de un canal secundario verificado para cualquier solicitud que involucre movimientos financieros, especialmente si llega acompañada de urgencia o confidencialidad”. Además, es imprescindible un cambio cultural: los equipos financieros deben operar bajo el principio de “confía, pero verifica”. Esto implica rediseñar los flujos de autorización para que ninguna persona, sin importar su cargo, pueda aprobar unilateralmente una transferencia significativa sin una verificación contextual. Gorka Sainz recomienda reforzar la autenticación con medidas adaptativas basadas en análisis de comportamiento continuo y usar canales cifrados. También es esencial concienciar al usuario para detectar tonos poco naturales, expresiones faciales anómalas o comportamientos inusuales.
La buena noticia es que las soluciones principales son conocidas y, en su mayoría, de carácter procedimental más que técnico. La doble verificación para cualquier solicitud de transferencia bancaria, confirmando a través de un canal separado y preestablecido, elimina casi por completo el vector de deepfake. La autorización dual obligatoria para transferencias superiores a una cantidad concreta, sin excepciones, y los procedimientos de devolución de llamada utilizando números del directorio oficial son medidas eficaces. Sin embargo, Martin Zugec lamenta que “las organizaciones implementan estos controles y luego permiten que se debiliten poco a poco, especialmente cuando una solicitud parece provenir de un alto ejecutivo que transmite urgencia”. Esto apunta a la vulnerabilidad más profunda: una cultura donde se espera implícitamente que los empleados ignoren los controles formales cuando la dirección les pide que actúen con rapidez. “Corregir los protocolos financieros implica corregir también esa cultura, no solo la lista de verificación”, concluye.
No son pocos los casos en los que el CEO es el objetivo preferido de los atacantes. Ben Jacob expone que el deepfake de un CEO no sólo imita una voz o un rostro, sino que replica el “peso psicológico” de una orden directiva. “La mayoría de los programas de formación en ciberseguridad siguen centrados en el phishing por correo electrónico, mientras que los adversarios han migrado masivamente hacia el vishing y los deepfakes de voz y vídeo”. Eutimio Fernández añade que “la mayoría de las organizaciones no están lo suficientemente preparadas. Y el problema de fondo es cultural: los equipos financieros están entrenados para ejecutar con agilidad, no para cuestionar a sus superiores jerárquicos”. La alta dirección —CEO, CFO, directores de operaciones— es el objetivo predilecto porque su autoridad es incuestionable y su huella digital pública proporciona el material de audio y vídeo necesario para crear deepfakes convincentes. “Cualquier directivo con presencia pública es, en términos prácticos, una biblioteca de muestras gratuita”, destaca Cornago.
La democratización de las herramientas de IA generativa está acelerando esta tendencia. Jacob anticipa que los ataques se volverán más personalizados y dirigidos —spear deepfaking—, combinando inteligencia de fuentes abiertas, clonación de voz y renderización de vídeo en tiempo real. Raúl Núñez recuerda que cada minuto de audio o video publicado es material de entrenamiento para modelos sintéticos. Miguel Ángel Martín Cueto, director de Prestación de Servicios en Factum, sostiene que “la IA amplifica esta amenaza al permitir ataques hiperpersonalizados y mucho más convincentes. Los atacantes pueden replicar voz, imagen, estilo de comunicación e incluso patrones de comportamiento a partir de contenido disponible públicamente”. El coste de producir un deepfake convincente sigue bajando, democratizando este tipo de ataque hacia actores con menos recursos. “La pregunta no es si habrá más ataques sino cuándo le toca a cada uno”, sentencia Cornago.
Para profundizar en cómo proteger tu organización, te recomendamos leer nuestra Guía de Seguridad para Virtualización de Servidores con Proxmox y conocer las Soluciones Avanzadas en Microsoft Azure para una Seguridad Empresarial Robusta. También puedes ver cómo la transformación digital en una empresa logística puede integrar medidas de ciberseguridad, o descubrir cómo Orange Cyberdefense aterriza en España con un CyberSOC dual. Además, no te pierdas nuestro análisis sobre cómo AWS encuentra errores en el 60% de requisitos de software y cómo captar leads directos a tu CRM puede hacerse de forma segura.
Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.