Deepfakes Corporativos: El Fraude de US$ 1,1 Mil Millón que Está Reformulando la Seguridad Ejecutiva

En marzo de 2025, un director financiero de una multinacional en Singapur participó en una llamada de Zoom que parecía rutinaria con la alta dirección de la empresa. Escuchó una solicitud urgente de transferencia de US$ 499,000. Cada rostro en la videollamada era un deepfake. Cada voz fue generada artificialmente. La transacción se completó antes de que se solicitara alguna verificación.

El caso de Singapur no fue aislado. En enero de 2024, Arup, una empresa global de ingeniería, sufrió 15 transferencias fraudulentas que totalizaron US$ 25,6 millones en un solo día, después de que un empleado de finanzas participara en una llamada de video en la que todos los participantes eran ejecutivos generados por IA. A principios de 2025, una ola coordinada de ataques deepfake afectó a empresarios italianos de alto perfil, incluido el diseñador Giorgio Armani.

La Escala del Problema en 2025-2026

Fraudes por deepfake drenaron US$ 1,1 mil millón de cuentas corporativas estadounidenses en 2025, triplicando los US$ 360 millones del año anterior. El FBI registró más de 22,000 denuncias de fraude relacionado con IA en 2025, con pérdidas superiores a US$ 893 millones. El número total de deepfakes creció de 500,000 en 2023 a más de 8 millones en 2025.

La barrera tecnológica ha desaparecido. Una clonación de voz convincente puede ser creada a partir de apenas tres segundos de audio. Cada llamada de resultados, presentación en conferencia, podcast y entrevista que un ejecutivo ha grabado está disponible como datos de entrenamiento. El CFO que participó en un webinar público en 2023 puede tener su voz clonada sin haberlo notado jamás.

Deepfake-as-a-Service

El mercado del fraude ha democratizado la tecnología. Las plataformas de Deepfake-as-a-Service, disponibles en la dark web por valores a partir de US$ 20 al mes, permiten que atacantes sin habilidades técnicas creen videos y audios convincentes de cualquier ejecutivo con presencia pública relevante. El resultado es que la amenaza ya no está restringida a actores estatales con recursos avanzados.

La Respuesta Organizacional

Solo el 32% de los ejecutivos corporativos creen que sus organizaciones están preparadas para enfrentar un incidente de deepfake. La brecha de preparación es estructural: la mayoría de los procesos de autorización financiera fueron diseñados para un mundo donde la identidad de voz y video era suficiente para la verificación.

Las contramedidas que están adoptando organizaciones más avanzadas incluyen: palabras-código de verificación fuera de banda para solicitudes financieras por encima de ciertos límites, requerimiento de confirmación por canal alternativo (mensaje de texto o llamada telefónica a un número previamente registrado) para cualquier transferencia solicitada por video o audio, y entrenamiento periódico con simulaciones de ataque deepfake para equipos financieros.

Los proveedores de seguridad estiman que las pérdidas proyectadas por fraude habilitado por IA alcanzarán los US$ 40 mil millones para 2027. Para las organizaciones que no han actualizado sus protocolos de verificación de identidad, la cuestión no es si serán objetivo. Es cuándo.