L'ús d'eines d'intel·ligència artificial (IA) per suplantar veus i imatges està obrint nous i perillosos fronts en ciberdelinqüència. Segons dades de Secure&IT, companyia especialitzada en seguretat de la informació, només en el primer semestre d'aquest any 2025 s'han registrat més de 4.000 ciberatacs a organitzacions a nivell global, i Espanya es troba entre els països més afectats.

Aquesta tendència ascendent ja es va perfilar el 2023, any en què els atacs per frau corporatiu van experimentar un increment del 117% a l'Estat, amb pèrdues econòmiques que van superar els 240 milions d'euros. El que diferencia aquesta onada d'estafes de les seves predecessores és el sofisticat ús de la tecnologia. Els ciberdelincuents ja no es limiten a enviaments massius de correus electrònics (phishing) amb errors gramaticals.

Ara, mitjançant intel·ligència artificial, poden generar clons vocals amb precisió a partir de mostres públiques (entrevistes i presentacions) i fins i tot crear vídeos deepfake on l'executiu suplantat sembla donar una ordre directa. "Aquest salt qualitatiu és el que els permet burlar els filtres de seguretat tradicionals", assenyala un informe del sector. "El treballador rep una trucada o un missatge de vídeo del seu 'cap', que li demana, amb tota naturalitat i urgència, que realitzi una transferència a un compte suposadament vinculat a una operació confidencial. La confiança en la veu i la imatge, juntament amb la pressió jeràrquica, fan la resta."

El mecanisme de l'estafa

El modus operandi segueix un patró clar que explota vulnerabilitats humanes, no tant tècniques:

  • Reconeixement: L'estafador investiga la companyia objectiu, identificant els directius i empleats amb accés a fons o informació sensible, sovint a través de xarxes socials com LinkedIn.
  • Suplantació: Es fa passar pel CEO o un alt directiu mitjançant un correu electrònic, un missatge per aplicacions de missatgeria o, cada cop més, una trucada de veu.
  • Urgència i confidencialitat: La sol·licitud sempre és urgent i confidencial. S'argüeixen operacions delicades, adquisicions, o multes per justificar la necessitat de bypassar els controls habituals.
  • Execució: Es facilita un compte bancari controlat pels delinqüents perquè l'empleat, creient actuar sota ordres legítimes, realitzi la transferència fraudulenta.

En resposta a aquest escalfament del risc, els experts en ciberseguretat insisteixen en la necessitat de combinar tecnologia amb formació i protocols clars.

  • Formació contínua: Conscientitzar tots els empleats, especialment els de departaments financers, sobre l'existència d'aquests atacs i les seves senyals d'alerta.
  • Protocols de verificació obligatoris: Establir una norma d'oro: cap sol·licitud de transferència o enviament de dades sensibles per correu o telèfon es pot executar sense una verificació posterior mitjançant un canal alternatiu i preestablert (per exemple, trucar a un telèfon oficial de l'empresa per confirmar l'ordre rebuda al mòbil personal).
  • Doble signatura: Implementar sistemes que requereixin l'aprovació de diverses persones per a qualsevol operació financera important.
  • Control de la informació pública: Aconsellar als directius que limitin la seva empremta digital pública per dificultar l'obtenció de mostres per als clons d'IA.

La conclusió és clara: en l'era de la IA, ja no és suficient amb desconfiar dels textos. Ara cal qüestionar allò que veiem i escoltem. La veu del cap ja no és garantia de res, i la supervivència financera de moltes empreses passa per assumir aquesta nova i inquietant realitat.