Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica. Foto: cortesía. Portal ERP Colombia
Hoy las empresas se enfrentan a una amenaza sin precedentes: los audio deepfakes. La compañía de ciberseguridad ESET ha lanzado una alerta global sobre cómo la Inteligencia Artificial Generativa está permitiendo a los atacantes eludir controles de autenticación, infiltrarse en procesos de selección y, sobre todo, ejecutar fraudes financieros masivos mediante el secuestro de cuentas de ejecutivos.
La democratización del engaño
Según datos del Gobierno británico, la escala del problema es alarmante: el año pasado se compartieron hasta 8 millones de clips falsos, un salto exponencial frente a los 500 mil registrados en 2023. Para los expertos, esta cifra es solo la punta del iceberg, ya que muchas organizaciones subestiman la facilidad con la que un atacante puede clonar una voz.
Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica, advierte que las herramientas actuales son capaces de imitar ritmos, inflexiones y tics verbales propios de cada orador, insertando incluso ruido de fondo o tartamudeos para aumentar la credibilidad. "Cuando un ataque se lanza por teléfono, los fallos relacionados con la IA pueden ser más difíciles de detectar", señala Micucci.
Te puede interesar: Las grandes amenazas digitales de 2026: IA, robo de identidades y la nueva crisis de confianza digital
El "Modus Operandi" del ciberdelincuente
El proceso de ataque, según el análisis de ESET, consta de cinco pasos críticos:
-
Selección de la víctima: generalmente un CEO, CFO o un proveedor estratégico.
-
Recolección de audio: basta con unos segundos de una entrevista en YouTube, una charla pública o redes sociales.
-
Perfilamiento del objetivo: investigación en redes profesionales como LinkedIn para hallar al personal de tesorería o soporte técnico que recibirá la llamada.
-
Pre-contacto: envío de un correo urgente para preparar el terreno.
-
La llamada de voz: uso de tecnología "voz a voz" donde la voz del atacante se traduce en tiempo real a la de la víctima suplantada.
¿Cómo detectar al impostor?
A pesar del avance tecnológico, ESET sostiene que existen señales reveladoras que pueden salvar a una empresa de transferencias millonarias —como el famoso caso de los 35 millones de dólares estafados a una firma en Emiratos Árabes— si se presta atención a:
-
Ritmo y respiración: pausas antinaturales o frases largas dichas sin respirar.
-
Tono emocional: una voz sospechosamente plana o robótica.
-
Silencios extraños: ruido de fondo ausente o demasiado uniforme.
Blindaje corporativo: Personas, procesos y tecnología
La mitigación del riesgo no depende de una sola herramienta, sino de un cambio en la cultura organizacional. ESET recomienda actualizar los programas de capacitación para incluir simulaciones de audio deepfake y establecer protocolos de verificación estricta.
Entre las medidas sugeridas destacan la verificación fuera de banda (confirmar la solicitud por un canal de mensajería distinto a la llamada), la exigencia de doble firma para movimientos financieros importantes y el uso de contraseñas o preguntas de seguridad previamente acordadas entre ejecutivos para validar su identidad por teléfono.
"La mejor opción es un triple enfoque basado en las personas, los procesos y la tecnología. El nuevo panorama del ciberfraude exige una atención constante", concluye Micucci.
