Incidentes Asociados
Un deepfake de audio que suplantaba la identidad del secretario de Estado, Marco Rubio, contactó a ministros de Asuntos Exteriores, a un gobernador estadounidense y a un congresista con mensajes de voz generados por IA que imitaban su voz, según un alto funcionario estadounidense y un cable del Departamento de Estado fechado el 3 de julio.
No hay pruebas públicas de que los destinatarios de los mensajes, supuestamente diseñados para extraer información confidencial o acceder a sus cuentas, hayan sido engañados por la estafa. Sin embargo, este incidente es el último ejemplo de alto perfil de lo fáciles y alarmantemente convincentes que se han vuelto las estafas de voz con IA.
Con tan solo 15 a 30 segundos del discurso de alguien subidos a servicios como Eleven Labs, Speechify y Respeecher, ahora es posible escribir cualquier mensaje y que lo lean en voz alta. Tengan en cuenta que estas herramientas se utilizan con total legitimidad para diversas tareas, desde la accesibilidad hasta la creación de contenido, pero, como muchas tecnologías de IA, pueden ser mal utilizadas por actores maliciosos.
La amenaza de los deepfakes ha aumentado
Los deepfakes generados por IA no son nuevos, especialmente entre los altos ejecutivos y los funcionarios públicos, pero se están convirtiendo en un problema cada vez mayor. Hace ocho meses, informé que más de la mitad de los directores de seguridad de la información (CISO) encuestados clasificaron los deepfakes de vídeo y audio como una preocupación creciente. Esta amenaza no ha hecho más que aumentar. Un nuevo estudio de Surfshark reveló que, solo en el primer semestre de 2025, los incidentes relacionados con deepfakes se dispararon a 580, casi cuatro veces más que en todo 2024 (150 incidentes), y una cifra considerablemente superior a los 64 incidentes reportados entre 2017 y 2023. Las pérdidas por fraude con deepfakes también se dispararon, alcanzando los 897 millones de dólares en total, de los cuales 410 millones se registraron solo en el primer semestre de 2025. El esquema más común: suplantar la identidad de figuras públicas para promover inversiones fraudulentas, lo que ya ha generado pérdidas de 401 millones de dólares.
"Los deepfakes se han convertido en amenazas reales y activas para la ciberseguridad", me comentó por correo electrónico Aviad Mizrachi, director de tecnología y cofundador de la empresa de seguridad de software Frontegg. Ya estamos viendo videollamadas generadas por IA que engañan con éxito a empleados para que autoricen pagos multimillonarios. Estos ataques ya están ocurriendo, y se trata de una estafa que se está volviendo alarmantemente fácil de implementar para un hacker.
Parte del problema, añadió Mizrachi, radica en que los métodos de autenticación tradicionales (nombres de usuario, contraseñas, códigos de un solo uso y aplicaciones de autenticación) no fueron diseñados para un mundo donde un estafador puede clonar la voz o el rostro en segundos. Esto se debe a que estas estafas no implican necesariamente el robo de una cuenta; se basan en engañar a una persona real para que entregue credenciales o autorice acciones.
"Esas medidas de seguridad tradicionales para verificar la identidad de una persona obviamente ya no funcionan", afirmó, y añadió que la mayoría de los equipos de ciberseguridad aún pasan por alto los deepfakes, y esa es la vulnerabilidad que explotan los atacantes. Una voz falsa convincente en un mensaje de voz o una videollamada puede persuadir a alguien a omitir los procedimientos normales o aprobar una transferencia bancaria, incluso si todas las herramientas de autenticación están técnicamente instaladas.
Para protegerse contra este tipo de engaño, afirmó Mizrachi, las organizaciones necesitan implementar herramientas de seguridad más robustas que se basen en dispositivos físicos, como un teléfono inteligente o una llave de seguridad de hardware, para comprobar la identidad de alguien. Estas herramientas, conocidas como claves de acceso FIDO2 o WebAuthn, son mucho más difíciles de falsificar o suplantar para los hackers. Además de las comprobaciones de dispositivos, los sistemas de verificación inteligente también pueden monitorizar señales de comportamiento, como la velocidad de escritura, la ubicación o los hábitos de inicio de sesión, para detectar anomalías que una voz clonada no puede imitar. Estas capas adicionales dificultan considerablemente el éxito de un ataque deepfake.
Margaret Cunningham, directora de seguridad y estrategia de IA de la empresa de seguridad Darktrace, afirmó que el intento de suplantación de Rubio demuestra la facilidad con la que se puede utilizar la IA generativa para lanzar ataques de ingeniería social convincentes y dirigidos.
"Esta amenaza no fracasó porque estuviera mal diseñada, sino porque no aprovechó el momento oportuno de vulnerabilidad humana", afirmó. Las personas no suelen tomar decisiones en un ambiente tranquilo y concentrado. Responden mientras realizan múltiples tareas, bajo presión y guiados por lo que les resulta familiar. En esos momentos, una voz confiable o un mensaje con apariencia oficial pueden fácilmente pasar por alto la precaución.
Los deepfakes han impactado a las democracias de todo el mundo
La IA generativa también ha reducido drásticamente las barreras de entrada a la manipulación mediática, haciéndola más rápida, económica y escalable que nunca. Y está impactando a las democracias de todo el mundo: un reciente informe del New York Times (https://www.nytimes.com/2025/06/26/technology/ai-elections-democracy.html) descubrió que los deepfakes impulsados por IA han transformado las elecciones en al menos 50 países, utilizándolos para denigrar o difamar a los oponentes.
"Esta es la nueva frontera para las operaciones de influencia", me dijo Leah Siskind, investigadora de IA en la Fundación para la Defensa de las Democracias. "Hemos visto otros casos de deepfakes de altos funcionarios gubernamentales utilizados para acceder a cuentas personales, pero usar la IA para influir en las relaciones diplomáticas y la toma de decisiones es una escalada peligrosa. Se trata de un problema urgente de seguridad nacional con graves consecuencias diplomáticas".