El uso de herramientas de inteligencia artificial (IA) para suplantar voces e imágenes está abriendo nuevos y peligrosos frentes en ciberdelincuencia. Según datos de Secure&IT, compañía especializada en seguridad de la información, solo en el primer semestre de este año 2025 se han registrado más de 4.000 ciberataques a organizaciones a nivel global, y España se encuentra entre los países más afectados.

Esta tendencia ascendente ya se perfiló en 2023, año en que los ataques por fraude corporativo experimentaron un incremento del 117% en el Estado, con pérdidas económicas que superaron los 240 millones de euros. Lo que diferencia esta ola de estafas de sus predecesoras es el sofisticado uso de la tecnología. Los ciberdelincuentes ya no se limitan a envíos masivos de correos electrónicos (phishing) con errores gramaticales.

Ahora, mediante inteligencia artificial, pueden generar clones vocales con precisión a partir de muestras públicas (entrevistas y presentaciones) e incluso crear vídeos deepfake donde el ejecutivo suplantado parece dar una orden directa. "Este salto cualitativo es lo que les permite burlar los filtros de seguridad tradicionales", señala un informe del sector. "El empleado recibe una llamada o un mensaje de vídeo de su 'jefe', que le pide, con toda naturalidad y urgencia, que realice una transferencia a una cuenta supuestamente vinculada a una operación confidencial. La confianza en la voz y la imagen, junto con la presión jerárquica, hacen el resto."

El mecanismo de la estafa

El modus operandi sigue un patrón claro que explota vulnerabilidades humanas, no tanto técnicas:

  • Reconocimiento: El estafador investiga la compañía objetivo, identificando a los directivos y empleados con acceso a fondos o información sensible, a menudo a través de redes sociales como LinkedIn.
  • Suplantación: Se hace pasar por el CEO o un alto directivo mediante un correo electrónico, un mensaje por aplicaciones de mensajería o, cada vez más, una llamada de voz.
  • Urgencia y confidencialidad: La solicitud siempre es urgente y confidencial. Se arguyen operaciones delicadas, adquisiciones, o multas para justificar la necesidad de bypassar los controles habituales.
  • Ejecución: Se facilita una cuenta bancaria controlada por los delincuentes para que el empleado, creyendo actuar bajo órdenes legítimas, realice la transferencia fraudulenta.

En respuesta a este calentamiento del riesgo, los expertos en ciberseguridad insisten en la necesidad de combinar tecnología con formación y protocolos claros.

  • Formación continua: Concienciar a todos los empleados, especialmente a los de departamentos financieros, sobre la existencia de estos ataques y sus señales de alerta.
  • Protocolos de verificación obligatorios: Establecer una norma de oro: ninguna solicitud de transferencia o envío de datos sensibles por correo o teléfono se puede ejecutar sin una verificación posterior mediante un canal alternativo y preestablecido (por ejemplo, llamar a un teléfono oficial de la empresa para confirmar la orden recibida en el móvil personal).
  • Doble firma: Implementar sistemas que requieran la aprobación de varias personas para cualquier operación financiera importante.
  • Control de la información pública: Aconsejar a los directivos que limiten su huella digital pública para dificultar la obtención de muestras para los clones de IA.

La conclusión es clara: en la era de la IA, ya no es suficiente con desconfiar de los textos. Ahora hay que cuestionar lo que vemos y escuchamos. La voz en la cabeza ya no es garantía de nada, y la supervivencia financiera de muchas empresas pasa por asumir esta nueva e inquietante realidad.