Incidentes Asociados
Hace unos meses, mi padre recibió una llamada y escuchó una voz que nunca esperó oír en apuros: la de su nieto, mi hijo. La voz era apresurada, presa del pánico, suplicante. Decía que había habido un malentendido. Lo habían arrestado. Necesitaba que le transfirieran el dinero de la fianza inmediatamente. La llamada no duró mucho, solo lo suficiente como para generar un momento de miedo.
Pero la llamada no era real. Mi hijo estaba bien. Sin embargo, la voz se parecía lo suficiente a la suya como para hacer dudar a mi padre. Y eso era todo lo que necesitaba el atacante.
Por suerte, mi padre no le dio ninguna información a quien llamó. Me llamó y pude confirmar que mi hijo estaba a salvo y que la llamada había sido falsa. Esa revelación —que un desconocido había clonado la voz de su nieto de forma tan convincente como para provocar pánico— fue tan inquietante como la idea misma de un arresto.
La mayoría de nosotros nos hemos topado con las versiones más básicas: mensajes fraudulentos haciéndose pasar por tu banco, solicitudes de pago urgentes de números desconocidos, mensajes que afirman que tu ID de Apple ha sido comprometida. Suelen ser burdos, fáciles de detectar. Pero esas son las sondas de spam: molestias que ponen a prueba a los desatentos. El verdadero peligro es algo completamente distinto: suplantación de identidad sofisticada y dirigida, diseñada no para estafar a particulares, sino para comprometer a los gobiernos.
Y aunque se puede perdonar a la gente común como mi padre por dudar en un momento de pánico, no hay excusa cuando las mismas tácticas penetran en las más altas esferas del liderazgo nacional.
Según un cable filtrado, sensible pero no clasificado, enviado a las embajadas y consulados estadounidenses el 3 de julio, un individuo se hizo pasar por el secretario de Estado Marco Rubio usando voz y texto generados por IA. El impostor contactó con al menos tres ministros de Asuntos Exteriores, un gobernador estadounidense y un miembro del Congreso. En al menos dos casos, los mensajes incluían mensajes de voz sintéticos. Al menos uno recibió un mensaje de texto instando a mantener el contacto a través de la infame aplicación de mensajería cifrada Signal.
No se trataba de una estafa por dinero. Era un intento de infiltración al más alto nivel de la diplomacia estadounidense. Según el cable del 3 de julio, el objetivo era obtener "acceso a información o cuentas".
Este incidente se produce tras uno anterior que involucraba a Susie Wiles, jefa de gabinete del presidente Donald Trump. En mayo, atacantes que aparentemente clonaron su voz y explotaron sus contactos contactaron a senadores, gobernadores y líderes empresariales y solicitaron solicitudes indultos y fondos.
Ambos episodios, el de Wiles y el de Rubio, apuntan a una vulnerabilidad más profunda: el acceso a números privados de altos funcionarios y dignatarios extranjeros. Esto no se extrajo de LinkedIn. Sugiere acceso interno, explotación de listas de contactos sincronizadas automáticamente en aplicaciones como Signal o la vulneración de un sistema gubernamental que almacena directorios diplomáticos.
Cada vez hay más pruebas de que estas operaciones no son solo obra de estafadores autónomos o ciberdelincuentes. Funcionarios estadounidenses familiarizados con el incidente de suplantación de Rubio señalan a actores afiliados al Servicio de Inteligencia Exterior ruso, lo que sugiere una operación de inteligencia extranjera que investiga los protocolos de verificación estadounidenses y explota los puntos ciegos institucionales.
El riesgo se ve amplificado por quién tiene ahora acceso. El Departamento de Eficiencia Gubernamental (DOGE), creado durante la administración Trump y supervisado por Elon Musk, recibió amplio acceso a muchos sistemas informáticos federales. Esto incluye la Oficina de Tecnología Diplomática del Departamento de Estado, sede de herramientas de mensajería segura y bases de datos de contactos. Independientemente de si DOGE intervino o no en estos incidentes, las implicaciones de seguridad son reales. Cualquier fallo en los controles de acceso, la baja offboarding o el registro de actividades —ya sea durante el mandato de DOGE o transferido a los sistemas actuales— podría haber permitido la persecución persistente de funcionarios.
El momento no es casualidad. A medida que la suplantación de identidad mediante IA se vuelve más precisa, las capacidades defensivas del gobierno federal se están viendo desmanteladas. Se proyecta que la Agencia de Ciberseguridad y Seguridad de Infraestructura perderá casi un tercio de su plantilla con el presupuesto fiscal de 2026. Estos recortes socavarán los programas centrados en la desinformación, la detección de deepfakes y otras amenazas cruciales para la seguridad.
El Departamento de Estado afirma que llevará a cabo una investigación exhaustiva para evitar que esto vuelva a ocurrir. La respuesta de la Casa Blanca aún está pendiente, pero si la historia sirve de guía, y con esta administración suele serlo, podría asemejarse a la reacción al incidente anterior de Susie Wiles. Cuando se le preguntó en mayo sobre esa suplantación de identidad, Trump dijo: "Ella puede con ello", su alternativa habitual para ofrecer un plan concreto o rendir cuentas.
Qué puede hacer: hasta que Washington despierte
Si bien la coordinación federal falla, investigadores y agencias han emitido directrices claras para el público. Estas son las que funcionan:
1. No confíe en las voces: verifique las identidades.
Incluso si suena como alguien conocido, verifique con un segundo método de contacto. Cuelgue y vuelva a llamar a un número confirmado. La suplantación de identidad por IA no es obvia. Ese es el punto.
2. Desconfíe de la urgencia, especialmente de las reclamaciones por pérdida de teléfono.
Los estafadores suelen justificar un número nuevo diciendo que su teléfono se perdió o se rompió. Actúan con rapidez: un supuesto arresto, una crisis bancaria, un problema urgente de viaje. La presión para actuar con rapidez es la estafa en sí misma. No les sigas la corriente.
3. Nunca hagas clic en enlaces de mensajes de texto no solicitados.
Los enlaces de mensajes de texto son uno de los trucos más antiguos y siguen siendo efectivos. Pueden provocar descargas de malware o redirigirte a sitios de phishing. Si tu banco o proveedor de servicios intenta contactarte, visita su sitio web oficial o llámalos directamente.
4. Limita la exposición de tu voz.
Evita compartir clips de audio largos y de alta calidad en público. Si eres una figura pública, considera crear una base de datos de huellas de voz verificada con tu institución o empresa.
5. Evita compartir información.
Nunca compartas información confidencial ni envíes dinero, tarjetas de regalo, criptomonedas u otros activos a personas que no conoces o que solo has conocido en línea o por teléfono.
6. Reporta el incidente.
Probablemente parezca inútil, dada la confusión en Washington, denunciar algo tan insignificante como un mensaje sospechoso o una voz suplantada. Pero no lo es. Lo cierto es que las bases de las agencias federales siguen haciendo su trabajo. Solo necesitan la ayuda del público para hacerlo mejor.
Si recibe un mensaje o una llamada que le parezca, aunque sea mínimamente extraño, ya sea que diga provenir de un funcionario público, un familiar o una organización de confianza, repórtelo al Centro de Quejas de Delitos en Internet del FBI en ic3.gov. IC3 no es un servicio de asistencia técnica. Es la forma en que las fuerzas del orden construyen un panorama de las amenazas emergentes.
Los datos que envía, incluso sin un seguimiento inmediato, ayudan a rastrear campañas más amplias, conectar casos y orientar las respuestas nacionales. Entre 2020 y 2024, IC3 registró pérdidas reportadas por más de 50 000 millones de dólares (https://www.ic3.gov/PSA/2023/psa230609). Esa cifra aumentará si no logramos contrarrestarla.