Deepfakes: el fraude que no deja de evolucionar (y apenas comienza)

Los fraudes con deepfakes han pasado de ser experimentos tecnológicos a uno de los riesgos más serios para empresas y usuarios de la actualidad. Entre 2024 y 2025, la accesibilidad de la inteligencia artificial (IA) permitió que cualquier persona pudiera clonar voces, crear rostros falsos o manipular videollamadas en tiempo real. Esto abrió, de cierta forma, una caja de pandora, con ataques más convincentes, si los comparamos con los fraudes tradicionales por correo o teléfono. Ahora los criminales no solo imitan un mensaje o una parte parcial de una persona: imitan a la persona completa. Esta evolución explica el aumento acelerado de incidentes de fraude digital reportados a nivel global.

Los tipos de fraude que se revolucionaron por deepfakes son variados y cada año aparecen nuevas modalidades. El más conocido es el fraude del «CEO» pero aun mejorado con IA, donde la víctima recibe una llamada o videollamada del supuesto director de la empresa solicitando pagos urgentes. Pero hay otros igual de diseñados: estafas familiares con voces clonadas de hijos o padres, suplantación en procesos bancarios o “Know Your Customer” (KYC), falsificación de identidades en entrevistas laborales, fraudes internos hacia empleados y hasta estafas románticas usando avatares hiperrealistas. Todos estos ataques comparten la misma idea: usar IA para generar confianza inmediata y manipular a la víctima.

El tema más importante es que detrás de cada ataque hay tecnología muy simple de usar, y eso es lo que más preocupa. En voz, modelos como RVC v2, OpenVoice o ElevenLabs permiten clonar voz con apenas 10 a 20 segundos de audio. Además, la conversión de voz en tiempo real ya tiene una latencia tan baja que los criminales pueden sostener conversaciones fluidas sin ser detectados. En video, plataformas como HeyGen, Synthesia o D-ID permiten crear avatares corporativos, mientras que herramientas open-source como DeepFaceLive permiten suplantaciones en vivo durante videollamadas. Todo esto hace que el atacante no requiera de conocimientos técnicos avanzados para montar un fraude.

Un fraude moderno con deepfakes sigue una arquitectura clara. Primero, el atacante recopila datos públicos de la víctima o de la persona que desea suplantar, como; videos en YouTube, imágenes en redes sociales o el audio de cualquier video. Después clona la voz o rostro, usando tecnologías y procesos sumamente rápidos de entrenamiento. El siguiente paso es generar un guión dinámico usando modelos de lenguaje, capaz de adaptarse a las respuestas de la víctima. Finalmente, ejecuta la suplantación por teléfono, o plataformas como Zoom, Teams o WhatsApp, entre muchas otras. Llega un punto donde el atacante presiona para lograr transferencias o autorizaciones. Incluso planifica la evasión posterior, borrando rastros digitales para dificultar la investigación.

Hoy también existen redes de multi-agentes que permiten a los criminales operar fraudes a gran escala. Un agente genera la voz deepfake, otro analiza la conversación y decide qué decir, otro modula la emoción para simular urgencia o miedo, y otro coordina envíos de enlaces maliciosos o instrucciones de pago. Estos sistemas pueden manejar decenas o cientos de llamadas simultáneas, ajustándose a cada víctima en tiempo real. Esto multiplica el alcance del atacante y vuelve obsoletas muchas técnicas de detección tradicionales. Estamos ante un nuevo tipo de ataque, por perfilamiento usando deepfake.

Frente a este panorama, la mitigación requiere una combinación de controles técnicos y procesos humanos. Las empresas deben implementar políticas claras: nunca autorizar pagos por voz o videollamada, usar códigos secretos de verificación, aplicar doble factor por canales independientes y fortalecer los controles anti-spoofing en procesos internos. A nivel personal, es fundamental desconfiar de cualquier mensaje urgente, analizar inconsistencias en la voz o video, y validar directamente con la persona involucrada. Herramientas avanzadas pueden ayudar, pero la primera defensa sigue siendo la verificación humana.

Plataformas como Batuta aportan una capa esencial de gestión y priorización. Batuta consolida inventario, vulnerabilidades, configuraciones, identidades, telemetría de endpoints, permitiendo a las organizaciones entender dónde están sus verdaderas debilidades y qué problemas deben resolverse primero. Su enfoque es reducir las oportunidades para que un atacante tenga éxito; es mantener sistemas actualizados, cerrar configuraciones inseguras, identificar identidades con privilegios excesivos, automatizar tareas de remediación y estandarizar procesos de seguridad.