Information Security

Una voz conocida ya no es prueba

La voz y el video deepfake ya aprueban transferencias reales, y el fraude del CEO afecta a unas 400 empresas al día según los reportes. La solución es rediseñar los controles, no comprar software.

Por Leon Soliman · 2026-06-25 · 2 min de lectura

Puntos clave

La voz sintética es hoy la forma de fraude deepfake más usada como arma, y un clon utilizable solo necesita unos segundos de audio de una llamada de resultados pública, una conferencia o un podcast.
La suplantación de directivos ya provoca cerca de una cuarta parte de las pérdidas por fraude deepfake, y las falsificaciones del CEO y del CFO atacan, según los reportes, a unas 400 empresas cada día.
Las pérdidas no son pequeñas. Las grandes empresas pierden un promedio de 680.000 dólares por ataque, y un equipo de finanzas aprobó 25 millones de dólares en 15 transferencias tras una videollamada totalmente falsificada.
La mayoría de las defensas todavía no existen. Casi dos tercios de las organizaciones no han gastado nada en defensa contra deepfakes, y solo una pequeña fracción tiene un plan formal de respuesta.

Sus controles aún confían en una voz

La mayoría de los procesos de aprobación de pagos se diseñaron en torno a una premisa simple. Una voz conocida al teléfono, o un rostro reconocido en una videollamada, se trataba como prueba de que la solicitud era real. Durante décadas esa premisa se sostuvo, porque falsificar cualquiera de las dos era difícil, lento y costoso.

Eso ya no es cierto. Un clon de voz convincente puede construirse a partir de unos pocos segundos de audio que sus directivos ya han publicado en llamadas de resultados, charlas en conferencias y entrevistas. Los deepfakes de video en tiempo real ya pasan por las herramientas de reunión habituales. El control que protegía su tesorería nunca fue la tecnología. Era la dificultad de la suplantación, y esa dificultad ha desaparecido.

El ataque apunta al proceso, no al software

La suplantación de directivos representa hoy cerca de una cuarta parte de las pérdidas por fraude deepfake, y el método es constante. Alguien de finanzas recibe una solicitud urgente que parece venir de un alto directivo, a veces durante una llamada en vivo donde cada rostro en pantalla es sintético. La presión es la autoridad y el tiempo, no un cortafuegos roto.

Por eso las herramientas de detección por sí solas no lo resuelven. La debilidad es el flujo de trabajo que permite que una sola persona mueva dinero apoyada en una voz reconocida. En un caso, un empleado de finanzas liberó 25 millones de dólares en 15 transferencias separadas tras una única videoconferencia falsificada. No hubo ningún malware. El proceso hizo exactamente lo que fue construido para hacer.

Reconstruir la autorización en torno a la verificación

La solución es organizativa, y es poco glamorosa. La autoridad de pago nunca debe descansar sobre una voz o un rostro. Cualquier transferencia por encima de un umbral fijado necesita confirmación por un canal separado, un segundo aprobador que no estuvo en la llamada original, y un número de devolución de llamada conocido que el solicitante nunca proporciona.

Nada de esto requiere software nuevo, y ese es justamente el punto. Requiere una regla escrita que se sostenga bajo presión, incluso cuando la persona al teléfono suene exactamente como su director ejecutivo. Las empresas que permanezcan seguras serán las que decidieron, de antemano, que la urgencia no es una razón para saltarse un paso.

Leer a continuación: La IA en la sombra te expondrá · El contenido de tu IA puede hacer que te demanden

Preguntas frecuentes

¿Puede el software de detección de deepfakes detener esto?

Ayuda, pero no es el control principal. La detección va por detrás de las herramientas usadas para crear las falsificaciones, y no puede ejecutarse en cada llamada telefónica. La defensa fiable es un proceso de pago que exija verificación independiente y fuera de banda sin importar lo convincente que suene la solicitud.

¿Es esto solo un riesgo para las grandes corporaciones?

No. Las empresas medianas y familiares son objetivos atractivos precisamente porque suelen tener una aprobación directa, basada en la confianza, entre los líderes y finanzas. Unos pocos segundos de audio público de un propietario bastan para empezar, y las firmas más pequeñas rara vez tienen un plan formal de respuesta.

La voz en la que usted confía es ahora lo más fácil de falsificar. Las empresas que sobrevivan a esto no serán las que tengan la mejor detección. Serán aquellas cuyo personal tuvo permiso para frenar y verificar, incluso cuando el jefe estaba al teléfono.

Deepfake CEO Fraud Information Security Payment Fraud Risk Management Mittelstand

Más del Servola Journal

AI Governance

La IA en la sombra te expondrá

2026-06-25 · 3 min de lectura

Leer el artículo →

Risk Management

El contenido de tu IA puede hacer que te demanden

2026-06-25 · 2 min de lectura

Leer el artículo →

Infrastructure

La energía es el nuevo límite de la IA

2026-06-25 · 3 min de lectura

Leer el artículo →

Servola

Servola ayuda a propietarios y equipos de finanzas a rediseñar la autorización de pagos para que un deepfake no pueda aprobar una transferencia, en alemán e inglés.

Solicitar una presentación privada Sobre Servola →

Servola es asesoría tecnológica para un reducido número de familias y family offices. Cuando una decisión no se puede delegar, nos sentamos de su lado de la mesa.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Todos los artículos