La llamada que parecía real
Imaginá que recibís una videollamada de tu jefe. Lo ves en pantalla, reconocés su cara, su voz, sus gestos. Te dice que necesita que hagás una transferencia urgente de $200,000 a una cuenta nueva porque cerraron un negocio importante. Vos lo ves, lo escuchás, no hay razón para dudar. Hacés la transferencia. Al día siguiente descubrís que tu jefe nunca hizo esa llamada. Lo que viste y escuchaste era una recreación artificial perfecta generada por inteligencia artificial. Bienvenido a la era de los deepfakes.
Esto no es una película de ciencia ficción. Es exactamente lo que le pasó a una empresa multinacional en Hong Kong a principios de 2024, perdiendo $25 millones de dólares en una sola videollamada falsa. Y lo más aterrador: la tecnología para hacer esto es cada vez más accesible.
¿Qué son los deepfakes?
Los deepfakes son contenidos de audio, video o imagen generados o manipulados mediante inteligencia artificial para hacer parecer que una persona dijo o hizo algo que nunca ocurrió. El término combina "deep learning" (aprendizaje profundo, un tipo de IA) con "fake" (falso).
¿Cómo funcionan?
La tecnología detrás de los deepfakes usa redes neuronales generativas (GANs y modelos de difusión) que aprenden a partir de muestras reales:
1.Recopilación de datos. El sistema necesita material de la persona objetivo: fotos, videos, grabaciones de voz. Redes sociales, presentaciones públicas, entrevistas: todo sirve.
2.Entrenamiento del modelo. La IA analiza miles de frames de video o minutos de audio para aprender los patrones únicos del rostro, la voz, los gestos y las expresiones de la persona.
3.Generación del contenido falso. Con el modelo entrenado, se puede hacer que la "persona" diga o haga cualquier cosa que el atacante quiera.
4.Refinamiento. Los modelos más avanzados producen resultados casi indistinguibles de la realidad para el ojo humano.
Los tres tipos principales
Deepfake de video (face swap):
El rostro de una persona se superpone sobre el de otra en un video. Puede ser en tiempo real (para videollamadas) o pre-grabado.
Deepfake de voz (voice cloning):
La voz de una persona se clona a partir de muestras de audio. Con tan solo 3 segundos de audio, algunos modelos actuales pueden generar una réplica convincente de la voz de cualquier persona.
Deepfake de imagen:
Fotografías completamente fabricadas de personas que no existen, o personas reales en situaciones ficticias. Los generadores de imágenes actuales producen rostros humanos indistinguibles de fotos reales.
El fraude CEO: deepfakes al servicio del crimen corporativo
El fraude CEO (también llamado Business Email Compromise o BEC) es una estafa donde el atacante se hace pasar por un ejecutivo de alto nivel para ordenar transferencias de dinero. Tradicionalmente se hacía por correo electrónico, pero los deepfakes lo han llevado a otro nivel.
El caso de Hong Kong: $25 millones en una videollamada
A principios de 2024, una empresa multinacional con sede en Hong Kong fue víctima de lo que se considera el mayor fraude por deepfake hasta la fecha:
•Un empleado del departamento financiero recibió un correo aparentemente de su CFO en Londres, solicitando una videollamada.
•En la videollamada participaron varias personas, todas recreadas con deepfake en tiempo real: el CFO y otros directivos de la empresa.
•Las caras, voces y gestos eran convincentes. El empleado no sospechó nada.
•Durante la llamada, le instruyeron transferir $25.6 millones de dólares a varias cuentas.
•El fraude se descubrió días después cuando el empleado verificó con la oficina central.
Lo devastador: no fue una sola persona falsa en pantalla, sino un equipo completo de deepfakes interactuando en tiempo real.
El caso de la empresa de energía británica: $243,000 por una llamada de voz
En 2019, un CEO de una empresa de energía del Reino Unido recibió una llamada telefónica de su "jefe" en la empresa matriz alemana. La voz era idéntica: el acento, el tono, las pausas al hablar. Le pidió transferir $243,000 a un proveedor húngaro con urgencia.
El CEO obedeció. Era un deepfake de voz.
El patrón del fraude CEO con deepfake
1.Investigación. Los atacantes estudian la estructura organizacional, los nombres de los ejecutivos, las relaciones entre departamentos. LinkedIn es una mina de oro para esto.
2.Recopilación de material. Buscan videos y audios públicos del ejecutivo que van a suplantar: conferencias, entrevistas, videos corporativos, podcasts.
3.Creación del deepfake. Entrenan el modelo con el material recopilado.
4.El ataque. Contactan al empleado objetivo en un momento de presión (viernes por la tarde, fin de mes, durante un viaje del ejecutivo real).
5.Urgencia y presión. Siempre hay una razón para actuar rápido y no verificar: "Es confidencial", "Es urgente", "No podemos esperar al lunes".
Más allá del fraude: Otros usos maliciosos de deepfakes
Manipulación de mercados
Un video deepfake de un CEO anunciando malas noticias puede hacer caer el valor de las acciones de una empresa. Los atacantes venden en corto antes de publicar el video y obtienen ganancias millonarias cuando el precio cae.
Daño reputacional
Un competidor desleal podría crear un video falso de un ejecutivo haciendo comentarios racistas, admitiendo fraude o en situaciones comprometedoras. Aunque después se demuestre que es falso, el daño a la reputación ya está hecho.
Extorsión
Los atacantes crean material comprometedor falso de ejecutivos y amenazan con publicarlo si no se paga un rescate. La víctima sabe que es falso, pero también sabe que explicar eso públicamente sería casi imposible.
Desinformación en crisis
Durante una crisis empresarial, un deepfake del CEO o portavoz dando información falsa puede empeorar la situación exponencialmente, afectando a empleados, clientes e inversionistas.
¿Qué tan accesible es esta tecnología?
Esta es la parte que debería preocuparte más: la barrera de entrada baja cada día.
•Clonar una voz:: Herramientas disponibles públicamente pueden clonar una voz con 3-15 segundos de audio. Algunas son gratuitas.
•Face swap en tiempo real:: Existen aplicaciones que permiten cambiar tu rostro por el de otra persona durante una videollamada en vivo.
•Generación de imágenes:: Crear una foto realista de una persona que no existe toma segundos con generadores de imágenes IA.
•Video completo:: Generar un video convincente de una persona diciendo algo específico todavía requiere más recursos, pero está al alcance de cualquier grupo criminal organizado.
No necesitás ser un experto en IA. No necesitás equipos costosos. Un atacante motivado con una laptop y acceso a internet puede crear un deepfake convincente en horas.
Cómo detectar deepfakes: señales de alerta
En video
•Parpadeo irregular.: Los deepfakes a veces no replican bien el parpadeo natural.
•Bordes del rostro.: Buscá inconsistencias donde el rostro se une con el cuello o el cabello. A veces hay un ligero "halo" o desenfoque.
•Iluminación inconsistente.: La luz en el rostro no coincide con la del entorno.
•Movimientos bruscos.: Al girar la cabeza rápidamente, el deepfake puede mostrar distorsiones momentáneas.
•Dientes y orejas.: Suelen ser los puntos más difíciles de replicar con precisión.
•Sincronización labial.: En algunos deepfakes, el movimiento de los labios no coincide perfectamente con el audio.
En audio
•Tono monótono.: Las voces clonadas a veces pierden las variaciones naturales de tono y emoción.
•Respiración ausente.: Las personas reales respiran, hacen pausas, carraspean. Los deepfakes de voz a menudo suenan "demasiado limpios".
•Ruido de fondo inconsistente.: El ruido ambiental puede aparecer y desaparecer de forma no natural.
•Latencia en respuestas.: En una llamada en tiempo real, puede haber un pequeño retraso mientras el sistema procesa y genera la respuesta.
La realidad incómoda
Los deepfakes de alta calidad ya son prácticamente indetectables por humanos. Las señales de arriba ayudan con deepfakes de baja y mediana calidad, pero los modelos más avanzados superan la capacidad de detección humana. Por eso la detección no puede ser tu única defensa.
Estrategia de protección para PYMEs
1. Protocolos de verificación para transferencias
Esta es la defensa más efectiva y no cuesta nada:
•Regla de callback:: Cualquier transferencia solicitada por teléfono, video o correo debe ser verificada con una llamada de vuelta al número conocido (no al número desde el que llamaron).
•Doble aprobación:: Transferencias por encima de cierto monto requieren aprobación de dos personas.
•Palabra clave.: Establecé una palabra o frase secreta que solo conozcan los ejecutivos autorizados para solicitar transferencias.
•Verificación presencial:: Para montos muy altos, requerí verificación en persona.
2. Reducí el material disponible para crear deepfakes
•Limitá los videos públicos: de ejecutivos clave. No todo necesita estar en YouTube o redes sociales.
•Cuidá las redes sociales corporativas.: Cada video de la empresa mostrando al CEO o gerentes es material de entrenamiento potencial para un deepfake.
•Revisá qué hay público.: Hacé una búsqueda de videos y audios de tus ejecutivos en internet. Mientras menos material disponible, más difícil crear un deepfake convincente.
3. Capacitá al equipo
•Sensibilización sobre deepfakes.: Mostrá ejemplos reales (hay muchos en internet) para que el equipo entienda lo convincentes que pueden ser.
•Cultura de verificación.: Normalizá que verificar una solicitud no es desconfianza, es profesionalismo.
•Simulacros.: Así como se hacen simulacros de phishing, hacé simulacros de fraude CEO. Llamá a alguien del equipo financiero simulando ser un ejecutivo con una solicitud urgente y veá cómo reacciona.
4. Herramientas tecnológicas de detección
Herramientas de detección de deepfakes:
•Microsoft Video Authenticator:: Analiza fotos y videos buscando señales de manipulación artificial.
•Intel FakeCatcher:: Detecta deepfakes analizando el flujo sanguíneo en los píxeles del rostro (los deepfakes no replican el sutil cambio de color que ocurre con cada latido).
•Sensity AI:: Plataforma especializada en detección de deepfakes para empresas.
•Reality Defender:: Ofrece APIs para integrar detección de deepfakes en tus flujos de trabajo.
Importante: Ninguna herramienta es 100% efectiva. Los detectores y los generadores están en una carrera armamentista constante.
5. Implementá marcas de agua digitales
Algunas empresas están adoptando marcas de agua digitales en sus comunicaciones oficiales en video:
•Fondos corporativos verificables que serían difíciles de replicar
•Timestamps y códigos visibles durante videollamadas oficiales
•Grabación oficial de todas las videollamadas donde se tomen decisiones financieras
6. Alfabetización mediática corporativa
Más allá de la tecnología, tu equipo necesita desarrollar pensamiento crítico digital:
•Si algo suena demasiado urgente para verificar, es probablemente una estafa
•Los ejecutivos legítimos entienden y apoyan los procesos de verificación
•"Lo vi en video" ya no es garantía de que sea real
•Ante la duda, siempre verificá por un canal diferente al que recibiste la solicitud
El marco legal: ¿Dónde estamos en Centroamérica?
La legislación sobre deepfakes en la región es todavía incipiente:
•Costa Rica:: No hay legislación específica sobre deepfakes, pero podrían aplicarse leyes existentes sobre estafa, suplantación de identidad y delitos informáticos.
•Panamá:: La Ley 51 de 2008 sobre delitos informáticos podría cubrir algunos aspectos, pero no aborda deepfakes específicamente.
•Guatemala y Honduras:: Las leyes de ciberdelitos existentes son generales y no mencionan contenido generado por IA.
•El Salvador:: La reforma a la Ley Especial contra Delitos Informáticos avanza pero aún no incluye provisiones específicas sobre deepfakes.
Esto significa que la protección legal es limitada. La prevención es tu mejor defensa.
Qué hacer si sos víctima de un deepfake
1.No paguéis ni obedezcáis la solicitud. Si sospechás que una comunicación es un deepfake, pausá todo.
2.Verificá por otro canal. Llamá directamente a la persona que supuestamente te contactó, usando un número que ya tengás guardado.
3.Preservá la evidencia. No borrés el video, audio o correo. Guardá todo como evidencia.
4.Notificá internamente. Alertá a tu equipo de seguridad, TI y a la gerencia.
5.Reportá a las autoridades. En Costa Rica, el OIJ tiene una sección de delitos informáticos. En otros países de la región, contactá la unidad de ciberdelitos correspondiente.
6.Contactá a tu banco. Si ya se ejecutó una transferencia fraudulenta, contactá al banco inmediatamente. Mientras más rápido actués, más posibilidades hay de recuperar los fondos.
7.Documentá y aprendé. Usá el incidente para fortalecer tus protocolos y capacitar al equipo.
La confianza ya no se puede dar por sentada
Los deepfakes representan un cambio fundamental en cómo debemos manejar la confianza en las comunicaciones empresariales. Ver y escuchar a alguien ya no es suficiente para confirmar su identidad. Necesitamos nuevos protocolos, nuevas herramientas y, sobre todo, una nueva mentalidad.
En CiberShield ayudamos a PYMEs centroamericanas a prepararse para esta nueva realidad. Desde la implementación de protocolos de verificación hasta capacitaciones de concientización con ejemplos reales de deepfakes, te ayudamos a construir una cultura organizacional donde la verificación es la norma, no la excepción.
¿Querés saber qué tan vulnerable es tu empresa al fraude por deepfake? Contactanos para una evaluación de riesgo y un taller de concientización personalizado para tu equipo.