Imagina que suena el teléfono. Es tu jefe, que te da instrucciones urgentes para que envíes millones de dólares a un nuevo proveedor con los que cerrar un trato importante. No es habitual, pero sin duda alguna es su voz, así que haces la transferencia. Horas después, descubres que el trato era falso, que el proveedor era un estafador y que la voz del teléfono era una réplica digital perfecta de la de tu jefe.

No es una escena de un thriller de ciencia ficción. Es la aterradora realidad de las sofisticadas estafas mediante deepfakes y suplantación de voz por IA, que crecen rápidamente. Ahora que la tecnología de suplantación de voz mediante IA y generación de deepfakes de vídeo es más accesible, estas estafas ya no se limitan a objetivos corporativos de gran valor. Se utilizan cada vez más para hacerse pasar por familiares, crear desinformación política y perpetrar nuevas formas de robo de identidad.

Solo en 2024, los casos de fraude con deepfakes se dispararon un 3000 %, impulsados por la democratización de potentes herramientas de IA y el ingente suministro de datos personales nuestros en línea. Los estafadores ya no necesitan recursos propios de Hollywood. Les basta con un software cada vez más accesible que permite clonar una voz usando un breve clip que consiguen en las redes sociales o crear un convincente vídeo falso a partir de fotos públicas.

Esta guía está diseñada para dotarte de los conocimientos que necesitas para enfrentarte a este nuevo campo de minas digital, aprender cómo funciona esta tecnología, ver ejemplos del mundo real y su devastador impacto, y proporcionarte estrategias prácticas para detectar estas estafas y protegerte tú, a tu familia y a tu empresa contra el fraude.

¿Qué son los fraudes de voz y los deepfakes basados en IA?

En los fraudes de voz con IA, los estafadores emplean esta sofisticada tecnología para imitar la voz de una persona, normalmente obtenida de audios o filtraciones de datos disponibles públicamente, y la acompañan de una narrativa urgente o angustiada con el fin de engañar a las víctimas para que envíen dinero o divulguen información confidencial. Pueden hacerse pasar por un familiar en situación de emergencia o por un colega que necesita fondos inmediatamente, sacando partido de los lazos emocionales y creando una sensación de urgencia para conseguir estafar a la víctima.

Por su parte, los deepfakes son vídeos sintéticos hiperrealistas creados con IA o aprendizaje automático, que cambian el rostro de las personas, alteran su expresión o incluso generan escenarios totalmente nuevos. Consiguen que parezca que alguien dijo o hizo algo que nunca hizo, difuminando la línea entre lo real y lo inventado.

La ciencia en la que se basan la voz clonada con IA y los fraudes con deepfakes

La principal tecnología empleada en la suplantación de voz con IA es la síntesis de voz, a menudo impulsada por redes generativas antagónicas (GAN). A continuación se incluye un análisis simplificado de su funcionamiento:

  • Recogida de datos: un estafador necesita una muestra de la voz de la víctima. Es increíble lo fácil que puede resultar obtenerla. A menudo basta con unos segundos de un mensaje de voz, un vídeo en redes sociales, una entrevista en un podcast o incluso una llamada del servicio de atención al cliente.
  • Entrenamiento del modelo: el modelo de IA analiza la muestra de voz y la descompone en rasgos únicos: tono, timbre, acento, ritmo e incluso patrones de respiración. Después aprende a imitar estos biomarcadores vocales.
  • Generación y perfeccionamiento: el estafador escribe el guion que quiere que “pronuncie” la IA. El generador de las redes GAN crea el audio, mientras que el discriminador lo coteja con la muestra de voz original para comprobar su autenticidad. En cuestión de segundos, este proceso se repite miles de veces y con cada ciclo la voz generada es más realista.

El resultado es un archivo de audio extremadamente convincente que se utiliza durante una llamada telefónica de vishing o phishing de voz o se incrusta en un vídeo.

La tecnología que hay detrás de los deepfakes de vídeo es bastante similar a la empleada para la clonación de voz, salvo que los estafadores recopilan imágenes y vídeos de la persona de fuentes públicas, como redes sociales, noticias o sitios web de empresas. Cuantos más datos visuales tengan (diferentes ángulos, expresiones, iluminación, rasgos faciales, gestos característicos y movimientos), más realista será el deepfake final.

Una vez entrenada, la IA puede superponer la cara sintetizada en un vídeo original de otra persona, haciendo coincidir la cara de la víctima con las expresiones y los movimientos de cabeza del actor del vídeo original. El audio, que puede ser una voz clonada, se sincroniza con el vídeo y luego se utiliza en el timo para sacar provecho económico, dañar la reputación de la víctima o manipularla políticamente.

Impacto real de las estafas con deepfakes

Fraude del CEO

En este tipo de fraude, también conocido como compromiso del correo electrónico empresarial, los estafadores envían mensajes de email haciéndose pasar por directivos para engañar a los empleados y conseguir que hagan transferencias no autorizadas. En 2019, el CEO de una empresa energética con sede en el Reino Unido fue engañado para que transfiriera 220 000 euros a un proveedor húngaro tras recibir una llamada de alguien que imitaba a la perfección la voz del director general de su empresa matriz en Alemania. El CEO manifestó que reconoció el “ligero acento alemán y la melodía” de su jefe, por lo que la petición le pareció totalmente legítima.

Estafa del abuelo

La clásica estafa del abuelo consiste en que un estafador llama a una persona mayor haciéndose pasar por su nieto en apuros que necesita fondos para una emergencia. En este caso, los estafadores extraen un breve fragmento de audio de la voz del nieto de un vídeo de TikTok o Instagram para crear una petición de ayuda creíble. En Arizona, una madre recibió una llamada de un número desconocido. Se oía la voz de su hija de 15 años llorando y diciendo que la habían secuestrado. Mientras hablaba por teléfono, su marido llamó a su hija, que estaba a salvo en una clase de esquí. La voz del teléfono era una completa invención.

→ Relacionado: How a Close Relative Lost $100,000 to an Elder Scam (Cómo un pariente cercano perdió 100 000 dólares por una estafa a ancianos)

Desinformación política

La amenaza de la IA se extiende a los procesos democráticos y propaga la confusión de manera masiva. A principios de 2024, los residentes de Nuevo Hampshire recibieron una robollamada con un audio falso del presidente Joe Biden generado con IA en el que les instaba a no votar en las primarias del estado. Los ciberdelincuentes pueden utilizar la tecnología de deepfake para crear vídeos o audios comprometedores con el fin de chantajear a sus víctimas o provocar daños a su reputación.

Estafas de romance

Ahora los estafadores hacen uso de deepfakes de imagen o vídeo, así como de voces clonadas, para crear personas falsas que sean creíbles en las plataformas de citas. Las víctimas, a menudo personas solitarias que buscan compañía, son manipuladas emocional y económicamente con videollamadas deepfake que borran toda sospecha de que se trate de una estafa romántica. Muchas mujeres han perdido sus ahorros creyendo que mantenían una relación sentimental con una persona de confianza o con personajes famosos. Solo después de enviarles dinero se dieron cuenta de que habían sido víctimas de una estafa.

→ Relacionado: AI chatbots are becoming romance scammers—and 1 in 3 people admit they could fall for one (Los chatbots de IA se están convirtiendo en estafadores románticos, y una de cada tres personas admite que podría caer en la trampa)

Recomendaciones falsas de famosos

A veces, los estafadores superponen la cara y la voz de un famoso en vídeos promocionales que usan para estafas de inversión y productos milagrosos. De esta forma, tienen más probabilidades de engañar a sus fans y seguidores en redes sociales para que gasten dinero, creyendo que la recomendación de la celebrity es auténtica. Un ejemplo reciente es un deepfake de vídeo en el que Taylor Swift regalaba utensilios de cocina y cuyo fin era engañar a sus fans para que compraran el producto.

Elusión de la seguridad biométrica

Un deepfake de audio o vídeo puede utilizarse para imitar los rasgos biométricos de una persona, con el fin de obtener acceso no autorizado a sus cuentas bancarias, teléfonos móviles y sistemas corporativos confidenciales. Son especialmente vulnerables los titulares de cuentas financieras y quienes utilizan el reconocimiento facial o de voz para transacciones sensibles.

Suplantación de la identidad de organismos oficiales y fuerzas de seguridad

Los delincuentes utilizan deepfakes para hacerse pasar por autoridades, como policías, inspectores de Hacienda o funcionarios de inmigración, en llamadas o videoconferencias, exigiendo dinero o información personal. El mayor riesgo lo corren los inmigrantes, los ancianos y quienes no están familiarizados con los procedimientos y normativas oficiales.

Cómo detectar una estafa

Ya sea una llamada telefónica que suena exactamente igual que la de un ser querido o un vídeo de un personaje público diciendo algo que nunca dijo, este tipo de fraudes está diseñado para aprovecharse de tu confianza. Con los conocimientos adecuados, puedes aprender a reconocer los sutiles indicios de hay que algo no cuadra del todo. Esta es una lista de señales de alarma que te ayudarán a detectar un fraude con deepfakes de vídeo o voz clonada con IA, antes de que sea demasiado tarde.

Voz clonada con IA

Los modelos de la IA no consiguen reproducir a la perfección los matices de las emociones y el habla de los humanos. Para reconocer los indicios reveladores de un fraude de voz cuando recibas una llamada sospechosa, escucha atentamente las sutiles imperfecciones que se enumeran a continuación, incluso aunque la voz te suene familiar en general.

  • Expresión monótona o plana: el discurso puede carecer de los altibajos emocionales normales. Puede sonar extraño, distante o robótico, aunque la voz en sí sea correcta.
  • Imperfecciones digitales perceptibles: a veces se escuchan débiles zumbidos electrónicos, eco o “artefactos” de audio que no se aprecian cuando el hablante es humano, especialmente en llamadas largas.
  • Ritmo o cadencia inusuales: presta atención para detectar pausas extrañas en medio de las frases o un ritmo que parezca ligeramente irregular. A veces las palabras se juntan de forma poco natural o bien aparecen pausas en lugares no habituales, lo que no suele ocurrir en conversaciones entre humanos.
  • Falta de sonidos humanos: puede que no oigas los pequeños ruidos que hacemos de manera inconsciente, como aclararnos la garganta, suspirar u otros sonidos de relleno. Por el contrario, es posible que oigas sonidos de respiración insertados digitalmente y demasiado regulares. Particularmente, en un audio generado con IA suelen sonar poco naturales la risa y la sorpresa.
  • Mala calidad de audio o ruido de fondo extraño: aunque no es una señal determinante, los estafadores suelen utilizar un sonido de fondo de estática o de call-center para enmascarar las imperfecciones de la voz clonada. Si los sonidos de fondo son genéricos o hacen un bucle extraño, es un posible indicio de manipulación.
  • Frases repetitivas: la IA puede usar un guion limitado. Si haces una pregunta y obtienes una versión ligeramente reformulada de una afirmación anterior, desconfía.

→ Relacionado: Artificial Imposters—Cybercriminals Turn to AI Voice Cloning for a New Breed of Scam (Impostores artificiales: los ciberdelincuentes recurren a la voz clonada con IA para una nueva clase de estafa)

Deepfakes de vídeo

En una videollamada o en un vídeo pregrabado, las señales visuales pueden delatar el engaño. Busca fallos en los que la IA no consigue crear una realidad coherente.

  • Parpadeo visual: fíjate si hay parpadeos breves y repentinos en los que la cara o la cabeza parecen vibrar o desplazarse de forma poco natural, sobre todo cuando la persona se mueve rápidamente.
  • Movimiento antinatural de los ojos: los deepfakes normalmente no consiguen un efecto de parpadeo realista. Puede que el sujeto no parpadee lo suficiente o que no parezca natural. Si la mirada no sigue tu movimiento o el de la cámara, podría ser señal de se trata de un vídeo falso.
  • Sincronización labial desajustada: puede que las palabras que oyes no coincidan exactamente con los movimientos de la boca de la persona. Esto suele ser más evidente al principio o al final de las frases, o cuando se habla rápidamente.
  • Expresiones faciales incómodas: puede que los movimientos faciales no coincidan con la emoción que transmite la voz. Las sonrisas y la risa suelen ser los puntos en los que los deepfakes muestran fallos.
  • Bordes borrosos o deformados: fíjate bien en los bordes en la zona en la que la cara se une con el cuello, el pelo o el fondo. Puede que veas desenfoques extraños, distorsiones o incoherencias de color. En los deepfakes de vídeo suelen plantear problemas los sombreros y las gafas.
  • Iluminación, sombras y texturas incoherentes: puede que la iluminación de la cara de la persona no coincida con la del resto de la escena. Por ejemplo, es posible que las sombras vayan en la dirección equivocada. La piel también puede parecer demasiado lisa, brillante o tener una textura inusual.

→ Relacionado: McAfee and Intel Collaborate to Combat Deepfakes with AI-Powered Deepfake Detection (McAfee e Intel colaboran para combatir los deepfakes con detección de deepfakes impulsada por IA)

Estrategia psicológica en una estafa: urgencia, secreto y emoción

Tecnología aparte, las estafas con deepfakes emplean las mismas tácticas de ingeniería social que el fraude tradicional. El objetivo es cortocircuitar tu pensamiento crítico poniéndote bajo presión.

  • Urgencia extrema: el estafador insistirá en que debes actuar ya para evitar que tengas tiempo de pensar, consultar a otras personas o verificar la petición.
  • Manipulación emocional: la comunicación está diseñada meticulosamente para provocar miedo, ansiedad o emoción, con el fin de nublar el juicio y que obvies los protocolos de seguridad habituales.
  • Exigencia de secreto: a menudo te dirán que no hables con nadie sobre la petición, fingiendo que el motivo es la confidencialidad o la preocupación por el bienestar de los demás.
  • Métodos de pago inusuales: los estafadores casi siempre exigen dinero a través de métodos poco convencionales, como transferencias bancarias, criptomonedas o tarjetas regalo, ya que estos métodos no pueden rastrearse ni anularse.
  • Gancho emocional: la petición estará diseñada para provocar una fuerte respuesta emocional, como el miedo durante un falso secuestro, la codicia para conseguir una oferta que nadie conoce o la compasión por un ser querido en apuros.

Protégete y protege tu empresa frente a los fraudes con IA

Para salvaguardar tu seguridad, el conocimiento y la defensa proactiva son fundamentales. Si sigues unos protocolos sencillos pero eficaces, podrás construir una defensa sólida contra estos ataques en tu vida personal y profesional. Aunque ninguna tecnología es infalible, añadir capas de seguridad puede disuadir a los atacantes.

Para particulares: refuerza tu seguridad personal

  1. Establece una palabra de seguridad: acuerda una palabra o pregunta secreta con tus familiares más cercanos y úsala si alguna vez recibes una llamada desesperada de alguien que te pide dinero. Un estafador que utilice voz clonada con IA no sabrá la respuesta.
  2. Verifica, verifica, verifica: si recibes una petición urgente de dinero o información sensible, cuelga. Ponte en contacto con la persona que llama a través de otro canal conocido, ya sea un número de teléfono de confianza, un mensaje de texto o una aplicación de mensajería diferente, para confirmar que la solicitud es real.
  3. Presta atención a tu huella digital: ten cuidado con la cantidad de contenido de audio y vídeo que publicas en las redes sociales. Cuantas más muestras de voz tenga un estafador, mejor será su clon. Considera la posibilidad de que tus cuentas sean privadas.
  4. Cuestiona los contactos inesperados: si recibes una llamada o un videochat de un número desconocido que dice ser alguien que conoces, sé escéptico. Hazles una pregunta personal cuya respuesta solo sabría la persona real.

Para las empresas: implementa una defensa multicapa

  1. Formación obligatoria de los empleados: la mayor vulnerabilidad de cualquier organización es un empleado sin formación. Organiza sesiones de formación periódicas para concienciar a tu equipo sobre las estafas con deepfakes, el vishing y las tácticas de ingeniería social. Utiliza ejemplos del mundo real para resaltar la amenaza.
  2. Aplica protocolos de verificación estrictos: crea un proceso de verificación de varios pasos para cualquier transacción financiera o solicitud de transferencia de datos, especialmente si es inusual o urgente. Esto incluye la verificación obligatoria mediante la llamada a un número preaprobado o una verificación presencial si se trata de grandes sumas. Nunca confíes en un único punto de contacto por teléfono o email.
  3. Restringe la información pública: siempre que sea posible, limita la cantidad de información sobre tus directivos clave, como vídeos y grabaciones de audio, disponible públicamente en el sitio web de la empresa o en foros públicos.
  4. Utiliza la tecnología para protegerte: plantéate usar soluciones de seguridad avanzadas que utilicen la biometría, como la “huella de voz”, para autenticar a los usuarios.

Qué hacer tras un intento de fraude con una voz clonada con IA o un deepfake de vídeo

Descubrir que has sido objeto de una estafa de voz clonada con IA o un deepfake de vídeo puede ser inquietante, pero tu respuesta puede ayudar a proteger tu identidad, tus finanzas y a otras personas para que no sean víctimas. Esto es lo que debes hacer inmediatamente después de descubrir un intento de fraude con IA:

  • No interacciones: cuelga el teléfono o finaliza la videollamada inmediatamente. Cuanto más tiempo permanezcas en la llamada, más oportunidades tendrá el estafador de manipularte. No facilites ningún dato personal.
  • No envíes dinero: por muy convincente o desgarradora que sea la historia, no hagas ningún pago ni transferencia.
  • Párate y piensa: respira hondo. La estafa está diseñada para que te asustes. Tu mejor defensa es tomarte un momento para pensar con claridad.
  • Verifica por otro canal: ponte en contacto con la persona real a través de un canal de comunicación diferente y de confianza para confirmar si está bien y si la petición es legítima.

Denuncia el incidente

Aunque no hayas caído en la trampa, es crucial denunciar estos intentos, ya que ayuda a las fuerzas de seguridad a identificar, seguir el rastro y acabar con estas redes delictivas.

  • Ponte en contacto con las fuerzas de seguridad: denuncia la estafa a la policía local y los organismos correspondientes. En EE. UU., debes presentar una denuncia en el Internet Crime Complaint Center del FBI.
  • Informa a la Comisión Federal de Comercio (FTC): la FTC rastrea los patrones de estafa para emitir advertencias públicas y tomar medidas contra las empresas fraudulentas. En España puedes denunciar un fraude en el Incibe.
  • Avisa a las plataformas pertinentes: si la estafa se originó en una plataforma de redes sociales, denuncia a la cuenta responsable por infringir las políticas de la plataforma sobre suplantación de identidad y medios sintéticos.

Consecuencias de caer en la trampa de los fraudes de voz con IA o los deepfakes de vídeo

Ser víctima de la suplantación de voz con IA y los fraudes con deepfakes tiene consecuencias devastadoras que pueden afectar a tu vida financiera, personal e incluso jurídica. A continuación te presentamos algunas de ellas:

  • Repercusiones inmediatas: la repercusión más inmediata es la pérdida económica. Los estafadores vaciarán tus cuentas bancarias o te convencerán para que transfieras grandes sumas irrecuperables.
  • Robo de identidad y daño crediticio: si compartes información confidencial, los estafadores pueden abrir nuevas cuentas, pedir préstamos o cometer más fraudes en tu nombre, con el consiguiente perjuicio para tu crédito a largo plazo y la tediosa tarea de recuperar tu identidad.
  • Angustia emocional: la conmoción, la vergüenza y el estrés pueden ser abrumadores y llegar a desencadenar ansiedad, pérdida de confianza e incluso depresión. A pesar de ser víctimas de un delincuente sofisticado, muchas personas se culpan a sí mismas.
  • Consecuencias legales y de reputación: las empresas pueden enfrentarse a demandas de clientes o autoridades reguladoras, mientras que los particulares podrían sufrir investigaciones prolongadas, especialmente si los estafadores utilizan su identidad para actividades delictivas.

Preguntas frecuentes: deepfakes y fraudes con IA

¿Se puede hacer un deepfake a partir de una sola foto?

Aunque con más datos (varias fotos y vídeos) se consigue un deepfake más convincente, los más básicos pueden crearse a partir de una sola fotografía. Por ejemplo, la IA puede animar una foto fija para que parezca que la persona está hablando o mirando a su alrededor. Sin embargo, estos deepfakes suelen ser más fáciles de detectar que los que se han entrenado con gran cantidad de secuencias de vídeo.

¿Son ilegales los fraudes con deepfakes?

Sí. Utilizar deepfakes con fines de fraude, acoso o suplantación de identidad es ilegal. En 2024, las agencias federales estadounidenses tomaron medidas importantes para combatir esta amenaza. La Comisión Federal de Comunicaciones (FCC) prohibió las voces generadas por IA en las robollamadas, mientras que la Comisión Federal de Comercio (FTC) introdujo normas que prohíben específicamente hacerse pasar por personas, empresas o agencias gubernamentales para cometer fraude.

¿Cuál es el tipo más habitual de fraude con deepfakes?

Actualmente, el fraude con deepfakes más frecuente y perjudicial es el financiero. Este incluye el fraude del CEO o compromiso del correo electrónico empresarial, en el que los delincuentes utilizan voces clonadas por IA o vídeos de directivos para engañar a los empleados y conseguir que realicen transferencias no autorizadas. También son cada vez más frecuentes y eficaces los fraudes en los que los estafadores se hace pasar por familiares en apuros que solicitan dinero para una emergencia.

Principales conclusiones

El auge de los fraudes con deepfakes y la suplantación de voz con IA representa un cambio fundamental en la seguridad digital, ya que los estafadores falsifican digitalmente nuestra voz y nuestro aspecto con facilidad. Sin embargo, puedes combatir estas actividades maliciosas con una estrategia de defensa básica que sigue siendo notablemente humana: mejor alfabetización digital, mayor vigilancia, un pensamiento crítico más profundo, una buena dosis de escepticismo y compromiso con la verificación.

Algunas tácticas que te ayudarán a construir una defensa robusta son entender cómo funciona la voz clonada con IA, aprender a reconocer las señales de alarma técnicas y psicológicas e implantar protocolos de seguridad sólidos tanto en tu vida personal como profesional. En esta tarea pueden ayudarte las herramientas de ciberseguridad y los recursos de la IA de McAfee.

Sin duda, el futuro traerá consigo formas aún más sofisticadas de medios sintéticos. Tu mejor estrategia es mantenerte informado y proactivo. Comparte esta información con familiares, amistades y compañeros de trabajo. Cuanta más gente conozca las tácticas de fraude, menos eficaces serán.