En este momento estás viendo A medida que se multiplican las falsificaciones digitales (deepfakes), las organizaciones se enfrentan a la ingeniería social basada en inteligencia artificial
Imagen creada con IA.

A medida que se multiplican las falsificaciones digitales (deepfakes), las organizaciones se enfrentan a la ingeniería social basada en inteligencia artificial

  • Autor de la entrada:
  • Categoría de la entrada:Análisis
  • Última modificación de la entrada:diciembre 22, 2025

Los deepfakes son un problema creciente para cualquier organización conectada a internet. Pueden ser especialmente peligrosos cuando son utilizados como arma por estados-nación y ciberdelincuentes.

“Cuando la gente piensa en deepfakes, a menudo se imagina vídeos falsos o llamadas con voces clonadas”, señaló Arif Mamedov, director ejecutivo de Regula Forensics, desarrollador global de dispositivos forenses y soluciones de verificación de identidad. “En realidad, el mayor riesgo es mucho más profundo. Los deepfakes son peligrosos porque atacan la identidad misma, que es la base de la confianza digital”.

“A diferencia del fraude tradicional, que se basa en datos robados o filtrados, los deepfakes permiten a los delincuentes recrear personas existentes o crear personas completamente nuevas, con rostros, voces, documentos y comportamientos creíbles”, declaró. “Estas identidades pueden parecer legítimas desde la primera interacción”.

Explicó que los deepfakes crean tres riesgos importantes. Primero, la autenticación falla cuando el reconocimiento facial, la autenticación de voz o el escaneo de documentos se basan en señales estáticas o reproducibles. Segundo, el fraude se escala rápidamente. La IA permite la generación de miles de identidades falsas simultáneamente, convirtiendo el fraude en un proceso industrial. Y tercero, los deepfakes generan una falsa sensación de seguridad. A menudo superan los controles existentes, por lo que las organizaciones creen que están protegidas mientras el fraude crece silenciosamente.

“Nuestra investigación de 2025 muestra que los deepfakes no reemplazan el fraude tradicional, sino que lo amplifican, exponiendo antiguas vulnerabilidades y haciéndolas mucho más costosas”, añadió.

Cómo los deepfakes socavan el juicio humano.

Mike Engle, director de estrategia de 1Kosmos, una empresa de verificación de identidad digital y autenticación sin contraseña con sede en Iselin, Nueva Jersey, explicó que la seguridad tradicional asume que una vez que alguien se autentica, es legítimo. “Los deepfakes rompen esa suposición”, declaró.

“La IA ahora puede suplantar de forma convincente a ejecutivos, empleados, candidatos a puestos de trabajo o clientes utilizando voces, rostros y documentos sintéticos, lo que permite a los atacantes eludir los flujos de trabajo de incorporación, soporte técnico y aprobación que nunca fueron diseñados para detectar identidades falsas”, dijo. “Una vez que se registra una identidad falsa, todos los controles posteriores (autenticación multifactor, VPN, inicio de sesión único) terminan protegiendo al atacante en lugar de a la organización”. Los deepfakes no atacan primero los sistemas, sino el juicio humano, afirmó David Lee, director de tecnología de campo de Saviynt, una empresa de gestión de identidad y acceso con sede en El Segundo, California.

“Cuando una voz o un video suenan convincentes, la gente actúa rápidamente, omite la verificación y asume que la autoridad es legítima”, declaró. “Eso es lo que hace que los deepfakes sean tan efectivos. Una voz ejecutiva creíble puede autorizar pagos, anular procesos o crear una sensación de urgencia que anula la toma de decisiones racionales antes de que entren en juego los controles de seguridad”.

“Como cualquier fraude o estafa, una estafa impulsada por deepfakes pone en riesgo a cualquier empresa, pero especialmente a las pequeñas o con márgenes de beneficio reducidos, donde los impactos financieros pueden tener un efecto desproporcionado en la salud y la viabilidad de la entidad”, añadió James E. Lee, presidente del Identity Theft Resource Center (ITRC), una organización sin fines de lucro dedicada a minimizar el riesgo y mitigar el impacto del robo de identidad y los delitos relacionados, con sede en San Diego.

“Los deepfakes pueden provocar filtraciones de datos; pérdida de control de procesos, sistemas y equipos; y, en última instancia, impactos financieros en forma de pérdidas reales, así como gastos imprevistos”, declaró.

Los ataques con deepfakes se están acelerando.

La proliferación de la IA parece haber aumentado la actividad de los ciberdelincuentes. “Los informes de ciberseguridad y las advertencias regulatorias indican un aumento exponencial”, observó Ruth Azar-Knupffer, cofundadora de VerifyLabs, una empresa desarrolladora de tecnología de detección de deepfakes, con sede en Bletchingley, Inglaterra.

“Los ciberdelincuentes están utilizando cada vez más herramientas de IA accesibles, como generadores de deepfakes de código abierto, para crear falsificaciones convincentes de manera eficiente”, declaró. “La proliferación de la comunicación digital, como las videollamadas y las redes sociales, ha ampliado las oportunidades de ataque, lo que convierte a los deepfakes en un vector creciente para estafas y desinformación”.

Mamedov, de Regula, añadió que la razón por la que el uso de deepfakes se está acelerando es simple. “Las herramientas son baratas o gratuitas, los modelos están ampliamente disponibles y la calidad de la producción ahora supera lo que muchos sistemas de verificación fueron diseñados para manejar”, ​​explicó.

“Lo que antes era un esfuerzo individual para crear un deepfake convincente, ahora es un ecosistema de fácil uso”, continuó. “Los estafadores pueden comprar ‘kits de identidad’ completos bajo demanda: rostros sintéticos, voces generadas por inteligencia artificial y perfiles digitales falsos. Esto representa un cambio de las estafas manuales a pequeña escala a la fabricación de identidades a escala industrial.”

Citó datos de Regula que muestran que aproximadamente una de cada tres organizaciones ya ha sufrido fraudes con deepfakes. «Esa es la misma frecuencia que amenazas de larga data como el fraude documental o la ingeniería social», afirmó. «La suplantación de identidad, el fraude biométrico y los deepfakes se han consolidado firmemente en el repertorio de fraudes habituales».

Nueva herramienta, viejo engaño.

Una de las formas en que las organizaciones abordan el problema de los deepfakes es a través de la capacitación. Por ejemplo, KnowBe4, una conocida empresa de capacitación en ciberseguridad con sede en Clearwater, Florida, lanzó el lunes una nueva capacitación destinada a proteger a las organizaciones de los deepfakes.

Perry Carpenter, estratega jefe de gestión de riesgos humanos de KnowBe4, explicó que la capacitación se centra en la interacción de los empleados con los deepfakes.

«Lo mejor que cualquiera puede hacer es, si siente que se está manipulando alguna emoción, que se está tocando alguna fibra sensible, ya sea miedo, urgencia, autoridad, esperanza o cualquier otra cosa, que eso sea una señal para que se detenga y comience a analizar la situación, lo que se le está pidiendo, y se pregunte si hay algo sospechoso», declaró.

«Como verán, no estoy hablando de analizar el deepfake para ver si la boca se ve bien o si la voz suena bien», continuó. «Esas son cosas que podemos hacer, pero que desaparecerán en los próximos seis meses a un año, a medida que la tecnología mejore».

«Así que lo último que quiero que alguien piense es que siempre habrá una señal visual o auditiva que pueda detectar», dijo. «Lo mejor siempre será preguntarse: ¿Me siento manipulado de alguna manera?. ¿Me están pidiendo que haga algo fuera de lo común?. ¿Están apelando a alguna emoción?. ¿Cómo puedo verificar esto a través de otro canal?».

«Los deepfakes son solo la herramienta tecnológica más reciente en el arsenal del atacante», agregó. «El modo de engaño, el ataque narrativo y las emociones son tan antiguos como la humanidad».

Nunca confíes, siempre verifica.

Rich Mogull, analista jefe de Cloud Security Alliance, una organización sin fines de lucro dedicada a las mejores prácticas en la nube, coincidió en que los empleados no deben confiar en las anomalías visuales o auditivas para identificar los deepfakes. “En lugar de depender de la búsqueda de señales visuales o auditivas, recomiendo buscar señales de comportamiento e implementar controles de proceso para prevenir los tipos de fraude para los que se utilizan”, declaró.

Recomendó exigir múltiples verificaciones antes de realizar una transferencia bancaria e implementar controles internos que bloqueen los intentos de eludirlos. También sugirió capacitar a los empleados para que validen las llamadas del director ejecutivo a través de un canal alternativo, como Slack o Teams, y para que detecten señales de ingeniería social, como “no tenemos tiempo para eso, hazlo ahora mismo”.

Si bien reconoció que se puede capacitar a los empleados para combatir las falsificaciones profundas (deepfakes), Lee, de Saviynt, argumentó que la capacitación por sí sola no es suficiente. “La concienciación ayuda a las personas a detenerse y reflexionar, pero no reemplaza la verificación”, afirmó. “El verdadero cambio consiste en enseñar a los empleados a dejar de preguntar ‘¿Esto es real?’ y empezar a preguntar ‘¿Qué lo confirma?’. Esto implica procedimientos de devolución de llamada, vías de aprobación secundarias y eliminar la voz o el video como señales de confianza independientes”.

“Si su control depende de que alguien reconozca una falsificación, no tiene control, tiene una apuesta”, señaló.

“Las falsificaciones profundas no son el problema principal. Son una prueba de estrés”, añadió Lee. “Exponen cuántas organizaciones aún dependen del reconocimiento en lugar de la verificación”.

“La solución a largo plazo no es una mejor detección humana”, continuó. “Es tratar la identidad como algo que debe validarse explícitamente y aplicarse continuamente mediante sistemas. Cuando la confianza deja de ser implícita, las falsificaciones profundas pierden su poder”.

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,