Estas estafas se han vuelto tan complejas que son casi imposibles de detectar, y van a por los empleados de las empresas

En julio de 2024, un directivo de Ferrari recibió un mensaje urgente: el remitente parecía ser el propio CEO de la compañía, Benedetto Vigna. Sin duda, la voz y su imagen en la videollamada eran inconfundiblemente las suyas. El problema es que el CEO le estaba pidiendo ayuda inmediata (en forma de realización de un plazo millonario) para cerrar una "operación confidencial".

Felizmente, el enredo se morapio debajo con una simple pregunta, un detalle personal que el impostor no pudo contestar.

Pero si el directivo no hubiera tenido la idea de hacer esa pregunta, o el impostor hubiera tenido suerte adivinando la respuesta correcta, Ferrari se habría convertido en la última gran víctima de una estafa en auge: el "fraude del CEO"... basado en el uso de 'deepfakes'.

Un envejecido fraude con nuevas armas

La trampa no es nueva. Durante abriles, delincuentes han enviado correos falsos o han hecho llamadas telefónicas para hacerse suceder por directivos y ordenar transferencias urgentes.

La diferencia es que ahora, incluso si el e-mail o SMS no cuela, con la inteligencia industrial pueden hasta clonar voces y rostros incluso en tiempo existente. Lo que ayer era un correo sospechoso (en la mayoría de los casos) hoy puede convertirse en una videollamada harto convincente.

"Lo que otorga poder a esta nueva ola de estafas es la combinación de autoridad, aprieto y credibilidad visual", resume un documentación del FBI, que calcula que las pérdidas por ciberdelitos en 2024 superaron los 16.600 millones de dólares en Estados Unidos.

Curiosamente, aun en pleno auge de la IA, los citados correos falsificados (lo que conocemos como 'Business Email Compromise') seguían en el ránking entre los tipos de estafa más costosos.

Casos que alertan al mundo corporativo

La serie de compañías atacadas no deja de crecer. Algunos de los casos que han desencajado a la luz:

• Arup (2024): un empleado transfirió 25 millones de dólares tras una videollamada con varios directivos falsos, todos generados con IA.
• UAE (2020): un cárcel perdió 35 millones tras atender órdenes de un 'director' cuya voz clonada resultó indistinguible de la existente.
• Energética británica no revelada (2019): 220.000 euros desaparecieron luego de que el CEO recinto 'reconociera' la voz de su principal ario… fabricada por un sistema de síntesis de voz.
• LastPass (2024): un atacante intentó engañar a un empleado con mensajes de voz falsificados. El fraude no prosperó porque la comunicación se realizó por un canal inusual.
• En China, en 2023, un patrón transfirió casi 600.000 dólares, convencido de que hablaba con un amigo de confianza durante una videollamada manipulada.

Cuando la víctima es el propio CEO

No siempre son los empleados quienes caen. En ocasiones, los propios máximos responsables de las empresas terminan siendo engañados… y hasta destituidos (porque ni la experiencia ni el rango inmunizan contra el enredo).

Fue especialmente palpable un hecho acaecido el año pasado que implicó a un stop directivo gachupin: Jaime Ondarza, CEO para el sur de Europa de Fremantle (la productora de 'Got Talent' y 'Mask Singer'), transfirió 938.000 euros tras conversaciones por WhatsApp con supuestos socios y un copiado abogado. El error le costó el cargo y abrió una investigación policial en Italia.

La ciencia detrás del enredo

Un estudio de University College London reveló que los humanos solo logramos detectar un 73% de las voces falsas, incluso luego de admitir entrenamiento específico.

Y los sistemas automáticos de detección siquiera son infalibles: hay competiciones internacionales como 'ASVspoof' muestran que los algoritmos de detección fallan cuando cambian las condiciones técnicas o se emplean técnicas nuevas de clonación. La 'policía' siempre va por detrás del 'mangante' en estos casos.

Las señales de emergencia

Expertos en ciberseguridad insisten en que, aunque la tecnología sea cada vez más sofisticada, la estafa sigue dependiendo de un mismo patrón:

• La autoridad (voz y cara del principal): quien palabra aparenta ser algún con poder jerárquico.
• La aprieto ("cerramos la operación hoy"): se exige una acto inmediata, sin tiempo para pensar.
• El aislamiento: la orden se transmite por canales inusuales y en secreto.

"La defensa no puede justificar en explorar la voz o la imagen. El contraveneno son los procesos: repasar por otro canal, pedir doble aprobación y no ceder delante la presión del tiempo", explicaba un asesor citado por Financial Times.

Qué están haciendo las empresas 

Algunas multinacionales han reforzado controles internos: reglas de "call-back" (devolver la convocatoria al número oficial ayer de efectuar, poco que además deberíamos hacer los usuarios de a pie cuando recibimos llamadas 'del cárcel', para evitar caer víctimas del 'spoofing'), "ventanas de refrigeramiento" para pagos urgentes y códigos verbales entre directivos y organización.

La formación además se ha vuelto crucial: "Los simulacros de 'deepfake' ayudan a que los equipos reconozcan patrones sospechosos, más allá de la voz o el vídeo", señala un informe de Deloitte, que advierte que las pérdidas globales por fraude autorizado por IA podrían triplicarse para 2027.

Imagen | Marcos Merino mediante IA

En Genbeta | La historia de cómo un deepfake consiguió dañar la reputación de una empresa de refrescos en España: así son los nuevos ciberdelitos