Los deepfakes han evolucionado de ser un problema de desinformación a convertirse en una amenaza real para la operativa empresarial. Tecnologías de generación de audio y vídeo falsos están siendo usadas para manipular procesos internos, provocar transferencias económicas no autorizadas y vulnerar la confianza dentro de las organizaciones. Este artículo analiza cómo los deepfakes impactan en la empresa moderna, detallando dos casos significativos y proponiendo estrategias para mitigar estos riesgos.

Deepfakes: de la desinformación al fraude corporativo

Durante años, los deepfakes se han asociado principalmente con la manipulación mediática y la desinformación. Sin embargo, como señala el análisis «Deepfakes are no longer a disinformation problem — they are your next supply chain risk» de Enrique Dans, el verdadero riesgo actual es operativo, afectando directamente decisiones y procesos críticos en empresas. Muchos actos de gestión dependen aún de la percepción humana: una voz conocida, un rostro familiar o una videollamada convincente pueden ser suficientes para desencadenar acciones financieras importantes.

Los modelos de IA capaces de generar audio y vídeo sintético han alcanzado un nivel de realismo tal que reproducen entonación, timbre, pausas y microvariaciones de voz con un margen de error inferior al 5 %. Con unos pocos minutos de grabación de un ejecutivo, se puede entrenar un modelo que engañe a personal experimentado en llamadas de rutina. La combinación de presión temporal y urgencia percibida aumenta significativamente el riesgo de fraude.

Caso europeo temprano: €220 000 mediante clonación de voz

Un ejemplo temprano de fraude con deepfake ocurrió en una empresa energética europea. La filial británica recibió una llamada del supuesto CEO alemán, que solicitaba una transferencia urgente de €220 000  a un proveedor. La voz del CEO fue clonada mediante IA usando grabaciones públicas y la petición se reforzó con un tono de urgencia que llevó al director británico a autorizar la operación sin verificación adicional. Dos intentos posteriores se realizaron con la misma técnica antes de que se detectara el fraude. Este incidente evidencia que incluso transferencias relativamente pequeñas pueden representar un riesgo real cuando se combinan tecnología avanzada y factores humanos.

Caso ARUP: multimillonario y audiovisual

En 2024, la empresa británica de ingeniería Arup fue víctima de un ataque de deepfake extremadamente sofisticado. Un empleado en Hong Kong participó en una videollamada que mostraba a varios ejecutivos —incluido el CFO— cuya voz e imagen eran generadas por IA en tiempo real. Convencido de que la reunión era legítima, realizó quince transferencias que sumaron aproximadamente HK$200 000 000 (≈$25,6 millones / £20 millones). El fraude se completó sin comprometer sistemas internos, demostrando que la percepción humana es un vector crítico de vulnerabilidad.

El ataque combinó audio y vídeo generados con IA, reproduciendo expresiones faciales, sincronización de labios y patrones de voz de los ejecutivos. La complejidad técnica permitió engañar al empleado y reforzar la urgencia de la operación, haciendo que los controles tradicionales de verificación visual o auditiva fueran insuficientes. Este caso se considera uno de los fraudes más costosos documentados con deepfakes, y ha servido de alerta para empresas de todo el mundo.

Aspectos técnicos y psicológicos

Los deepfakes utilizan redes neuronales profundas que analizan espectrogramas de audio y rasgos faciales para producir imitaciones convincentes. Modelos entrenados con grabaciones de conferencias, entrevistas o materiales públicos pueden generar voz y vídeo creíbles con apenas minutos de datos. La psicología juega un papel clave: la percepción de autenticidad se refuerza cuando los sujetos aparecen en grupos reconocibles y transmiten autoridad o familiaridad, disminuyendo la probabilidad de verificación crítica.

Consecuencias y medidas de mitigación

Los casos mencionados demuestran pérdidas económicas directas y cuantificables: desde €220 000 hasta más de $25 millones. Las organizaciones deben implementar estrategias de seguridad que incluyan autenticación multicanal, procedimientos formales de autorización, formación en ingeniería social y sistemas de verificación técnica de audio y vídeo. Herramientas como los programas de detección de manipulación del NIST o análisis de tendencias reportadas por Darktrace permiten evaluar patrones de riesgo y reducir la exposición a ataques sofisticados.

Reflexiones finales

El uso de deepfakes como herramienta de fraude no es una amenaza teórica. Las técnicas de clonación de voz y vídeo generan vulnerabilidades operativas concretas, y los ataques documentados muestran cómo la confianza humana puede ser explotada a gran escala. La combinación de tecnología avanzada, ingeniería social y procedimientos internos insuficientes convierte a los deepfakes en un riesgo de alto impacto que requiere atención inmediata.