Una ejecutiva británica del sector energético transfirió 243 mil dólares tras recibir una llamada de quien creía era su CEO. La voz era idéntica, la urgencia parecía real, pero todo era un deepfake generado por inteligencia artificial. Este caso real abre la puerta a entender por qué los deepfakes se han convertido en una de las amenazas más serias de la ciberseguridad actual, y cómo puedes protegerte si trabajas en entornos donde una solicitud falsa puede costar cientos de miles de dólares.

¿Qué es un deepfake y por qué representa un riesgo real?

Un deepfake es una imagen, video o audio que imita la voz, la apariencia o el comportamiento de una persona, pero está totalmente generado por inteligencia artificial. Lo peligroso no es la tecnología en sí, sino lo convincente que se ha vuelto.

¿Qué es un deepfake? Es contenido visual o auditivo creado con IA que replica a una persona real con tal precisión que puede engañar a familiares, colegas e incluso sistemas de autenticación bancaria.

El caso de la ejecutiva no es aislado. La IA permite recrear a tu jefe, a un compañero o a una figura pública con un nivel de detalle que hace casi imposible distinguir lo real de lo falso a simple vista o al primer escuchar [00:30].

¿Cómo usan los ciberdelincuentes la IA más allá de los deepfakes?

Los riesgos no se limitan a videos o audios falsificados. Existen modelos de IA capaces de geolocalizar imágenes: les cargas una foto y devuelven el país, la ciudad e incluso la zona donde fue tomada [01:20].

Piensa en lo que esto significa. Cada vez que subes una historia de tu viaje, una salida o una foto desde casa, le estás dando a un atacante una pista sobre tu ubicación. Un ciberdelincuente con la herramienta correcta puede armar un mapa de tu rutina sin acercarse a ti.

• Identificación del país a partir de elementos visuales del entorno.
• Detección de la ciudad cuando la imagen tiene referencias urbanas.
• Ubicación aproximada de la zona si hay puntos de referencia visibles.

Y estas IA siguen optimizándose con el tiempo, así que lo que hoy reconoce un país, mañana puede señalar tu calle.

¿Qué tipos de deepfake existen y cómo te afectan?

Los deepfakes se dividen en tres grandes categorías, y cada una abre una puerta distinta al fraude.

Deepfake de imagen: el caso del Papa y los engaños románticos

La imagen viral del Papa con un abrigo blanco mostró lo fácil que es hacer creer a millones de personas que algo falso es real [02:30]. En el lado más oscuro existe una comunidad dedicada a hacerse pasar por mujeres para engañar a hombres y sacarles dinero.

Antes compraban fotos reales a vendedoras específicas. Hoy ya no lo necesitan: con IA generan un set completo de imágenes de una persona que nunca existió.

Deepfake de video: cuando tu rostro deja de ser tuyo

En tiempo real, una IA puede reemplazar tu rostro por el de otra persona, copiando gestos y movimientos. Imagina una videoconferencia en vivo con el rostro y la voz de Barack Obama, donde el atacante imita incluso los pequeños tics del personaje [03:25].

Deepfake de voz: el ataque que vació una cuenta corporativa

La clonación de voz es especialmente peligrosa porque muchos bancos usan tu voz como llave de autenticación. Si una IA replica tu tono, una persona ajena podría acceder a tu sistema bancario sin levantar sospechas.

¿Por qué es peligroso un deepfake de voz en bancos? Porque varios sistemas financieros usan la voz como método de autenticación biométrica, y la IA puede clonarla con muestras cortas de audio público.

¿Cómo proteger a tu empresa de un fraude con deepfake?

La regla es simple y a la vez incómoda: aunque se vea como tu jefe y suene como tu jefe, verifica la solicitud por un canal alterno, sobre todo si es urgente, inusual o involucra dinero.

• Confirma transferencias grandes con una llamada al número conocido, no al que te contactó.
• Establece palabras clave internas con tu equipo para validar identidades.
• Desconfía de la urgencia extrema; es la herramienta favorita de los atacantes.
• Limita la información personal y de ubicación que publicas en redes sociales.

La ejecutiva del caso inicial no falló por ingenua. Falló porque su empresa no tenía un protocolo de verificación cuando la voz parece legítima. Y ahí está la lección: los procesos pesan más que la confianza auditiva.

¿Has recibido alguna solicitud sospechosa que después resultó ser un intento de deepfake? Cuéntalo en los comentarios y compara tu experiencia con la de otros estudiantes.