En julio de 2024, un directivo de Ferrari recibió un mensaje urgente: el remitente parecía ser el propio CEO de la compañía, Benedetto Vigna. Sin duda, la voz y su imagen en la videollamada eran inconfundiblemente las suyas. El problema es que el CEO le estaba pidiendo ayuda inmediata (en forma de realización de un pago millonario) para cerrar una “operación confidencial”.
Afortunadamente, el engaño se vino abajo con una simple pregunta, un detalle personal que el impostor no pudo contestar.
Pero si el directivo no hubiera tenido la idea de hacer esa pregunta, o el impostor hubiera tenido suerte adivinando la respuesta correcta, Ferrari se habría convertido en la última gran víctima de una estafa en auge: el “fraude del CEO”… basado en el uso de ‘deepfakes’.
ZAO, la APP MÓVIL china que a través de DEEPFAKE te convierte en DICAPRIO en SEGUNDOS
Un viejo fraude con nuevas armas
La trampa no es nueva. Durante años, delincuentes han enviado correos falsos o han hecho llamadas telefónicas para hacerse pasar por directivos y ordenar transferencias urgentes.
La diferencia es que ahora, incluso si el e-mail o SMS no cuela, con la inteligencia artificial pueden hasta clonar voces y rostros incluso en tiempo real. Lo que antes era un correo sospechoso (en la mayoría de los casos) hoy puede convertirse en una videollamada bastante convincente.
“Lo que otorga poder a esta nueva ola de estafas es la combinación de autoridad, urgencia y credibilidad visual”, resume un informe del FBI, que calcula que las pérdidas por ciberdelitos en 2024 superaron los 16.600 millones de dólares en Estados Unidos.
Curiosamente, aun en pleno auge de la IA, los citados correos falsificados (lo que conocemos como ‘Business Email Compromise’) seguían en el ránking entre los tipos de estafa más costosos.
Casos que alertan al mundo corporativo
La lista de compañías atacadas no deja de crecer. Algunos de los casos que han salido a la luz:
- Arup (2024): un empleado transfirió 25 millones de dólares tras una videollamada con varios directivos falsos, todos generados con IA.
- UAE (2020): un banco perdió 35 millones tras atender órdenes de un ‘director’ cuya voz clonada resultó indistinguible de la real.
- Energética británica no revelada (2019): 220.000 euros desaparecieron después de que el CEO local ‘reconociera’ la voz de su jefe alemán… fabricada por un sistema de síntesis de voz.
- LastPass (2024): un atacante intentó engañar a un empleado con mensajes de voz falsificados. El fraude no prosperó porque la comunicación se realizó por un canal inusual.
- En China, en 2023, un empresario transfirió casi 600.000 dólares, convencido de que hablaba con un amigo de confianza durante una videollamada manipulada.
Cuando la víctima es el propio CEO
No siempre son los empleados quienes caen. En ocasiones, los propios máximos responsables de las empresas terminan siendo engañados… y hasta destituidos (porque ni la experiencia ni el rango inmunizan contra el engaño).
Fue especialmente notorio un hecho acaecido el año pasado que implicó a un alto directivo español: Jaime Ondarza, CEO para el sur de Europa de Fremantle (la productora de ‘Got Talent’ y ‘Mask Singer’), transfirió 938.000 euros tras conversaciones por WhatsApp con supuestos socios y un falso abogado. El error le costó el cargo y abrió una investigación policial en Italia.
La ciencia detrás del engaño
Un estudio de University College London reveló que los humanos solo logramos detectar un 73% de las voces falsas, incluso después de recibir entrenamiento específico.
Y los sistemas automáticos de detección tampoco son infalibles: hay competiciones internacionales como ‘ASVspoof’ muestran que los algoritmos de detección fallan cuando cambian las condiciones técnicas o se emplean técnicas nuevas de clonación. La ‘policía’ siempre va por detrás del ‘ladrón’ en estos casos.
Las señales de alarma
Expertos en ciberseguridad insisten en que, aunque la tecnología sea cada vez más sofisticada, la estafa sigue dependiendo de un mismo patrón:
- La autoridad (voz y cara del jefe): quien habla aparenta ser alguien con poder jerárquico.
- La urgencia (“cerramos la operación hoy“): se exige una acción inmediata, sin tiempo para pensar.
- El aislamiento: la orden se transmite por canales inusuales y en secreto.
“La defensa no puede basarse en reconocer la voz o la imagen. El antídoto son los procesos: verificar por otro canal, pedir doble aprobación y no ceder ante la presión del tiempo”, explicaba un consultor citado por Financial Times.
Qué están haciendo las empresas
Algunas multinacionales han reforzado controles internos: reglas de “call-back” (devolver la llamada al número oficial antes de actuar, algo que también deberíamos hacer los usuarios de a pie cuando recibimos llamadas ‘del banco’, para evitar caer víctimas del ‘spoofing’), “ventanas de enfriamiento” para pagos urgentes y códigos verbales entre directivos y tesorería.
La formación también se ha vuelto crucial: “Los simulacros de ‘deepfake’ ayudan a que los equipos reconozcan patrones sospechosos, más allá de la voz o el vídeo”, señala un informe de Deloitte, que advierte que las pérdidas globales por fraude habilitado por IA podrían triplicarse para 2027.
Imagen | Marcos Merino mediante IA
En Genbeta | La historia de cómo un deepfake consiguió dañar la reputación de una empresa de refrescos en España: así son los nuevos ciberdelitos
