Enrique Dans

Los deepfakes ya no son solo un problema de desinformación: son un riesgo en la cadena de suministro

IMAGE: Illustration of a CEO’s face split between human and synthetic halves, with a hand signing a fraudulent document below

Durante años, los deepfakes se consideraron una rareza del mundo político o de las redes sociales: un rincón extraño de Internet donde caras de celebridades, abrumadoramente femeninas, se pegaban en vídeos falsos (pornografía en la abrumadora mayoría de los casos) y nadie sabía muy bien qué hacer al respecto.

Pero esa forma de ver las cosas ya está peligrosamente desfasada, porque los deepfakes han evolucionado silenciosamente hacia algo mucho más sistémico: un riesgo operativo para las compañías que puede corromper cadenas de suministro, flujos financieros, la confianza en la marca e incluso la toma de decisiones de sus ejecutivos.

Las noticias recientes muestran que los medios sintéticos han dejado de ser un experimento marginal, y se han convertido en una amenaza estratégica para la que la mayoría de las empresas no están preparadas.

Cuando un deepfake puede robar 25 millones de dólares

En febrero de 2025, la firma global de ingeniería Arup fue víctima de un fraude sofisticado basado en deepfakes. Los atacantes utilizaron vídeo y audio generados por inteligencia artificial para suplantar a altos directivos y convencieron a un empleado para que transfiriese 25 millones de dólares de los fondos de la compañía. El Foro Económico Mundial describió aquel incidente como un hito: el momento en que el fraude sintético pasó de ser un experimento a un robo a escala empresarial.

Para cualquier directivo que todavía piensa en los deepfakes como un fenómeno de redes sociales, esto debería ser una llamada de atención. Arup tenía una sólida ciberseguridad… lo que no tenía era resiliencia de identidad, es decir, la capacidad de verificar que la persona al otro lado de una llamada era realmente humana.

Fraude a nivel de dirección, pero esta vez con réplicas perfectas

En el último año, los intentos de fraude dirigidos a CFOs, equipos de compras y departamentos de fusiones y adquisiciones han aumentado significativamente. Un informe de 2025 indicaba que más de la mitad de los profesionales de seguridad encuestados habían encontrado intentos de suplantación de directivos generados sintéticamente.

Es fácil comprender por qué:

  • Un vídeo deepfake ahora puede generarse en tiempo real y en alta resolución
  • La clonación de voz solo requiere unos segundos de audio
  • Los atacantes pueden falsificar incluso emociones, urgencia o estrés, exactamente las señales que hacen que un empleado baje la guardia

Un caso reportado en una empresa tecnológica de tamaño medio terminó con una pérdida de 2.3 millones de dólares después de que una llamada convincente, pero completamente falsa, instruyera al departamento financiero a transferir fondos para «una adquisición urgente». Claramente, la formación tradicional contra el phishing no prepara a los empleados para enfrentarse a una versión reconstruida a la perfección de su propio jefe.

Los deepfakes ya no son sobre política: son sobre modelos de negocio

Cuando un deepfake suplanta a una celebridad para promover un esquema de inversión fraudulento, ese es un problema reputacional. Pero cuando suplantan a tu portavoz, a tu director financiero, a un producto clave o a un socio de tu cadena de suministro, eso deja de ser una anécdota para convertirse en un desastre corporativo.

La amenaza ha dejado de ser marginal. Ahora forma parte de la superficie de ataque empresarial: desde la ingeniería social sofisticada hasta el fraude financiero directo. Según un informe reciente de Trend Micro, los deepfakes están reconfigurando el riesgo operacional y redefiniendo lo que entendemos por seguridad empresarial en un mundo hiperconectado.

¿Por qué nadie lo estaba viendo venir?

Parte del error histórico estuvo en subestimar la tecnología. Cuando aparecieron los primeros deepfakes, la mayoría pensó que eran inofensivos errores visuales o trucos de internet que no impactarían en decisiones reales. Pero la combinación de modelos de inteligencia artificial cada vez más potentes, mayor accesibilidad de las herramientas y cantidades masivas de datos de entrenamiento ha convertido los deepfakes en algo que ya no distingue entre entretenimiento, información o fraude financiero.

La velocidad a la que estas tecnologías progresan implica que lo que ayer era detectable con relativa facilidad hoy puede pasar por real ante ojos no entrenados. Esto erosiona una piedra angular de cualquier organización: la confianza en sus comunicaciones internas y externas.

Qué hacer ahora: la resiliencia de identidad

Prepararse para este nuevo tipo de riesgo exige repensar nuestra aproximación a la seguridad digital. Ya no basta con proteger redes, firewalls o contraseñas. Hay que ser capaces de verificar que quién está al otro lado de una comunicación es realmente quien dice ser, y eso pasa por combinar tecnologías de autenticación robustas, procedimientos de doble verificación humana y una cultura organizacional que cuestione instintivamente lo que parece urgente o emocionalmente convincente.

Gran parte del problema radica en que la tecnología que facilita estos ataques también es necesaria para defenderse contra ellos. Plataformas de detección de medios sintéticos, autenticación biométrica avanzada y protocolos de verificación cruzada deben integrarse en los procesos críticos de decisión y aprobación. Especialmente en entornos donde una orden equivocada puede costar decenas de millones.

El problema no es solo tecnológico

No basta con desplegar herramientas técnicas si la organización no las entiende ni se ha adaptado culturalmente para usarlas. La capacitación debe evolucionar: no se trata solo de saber detectar un correo fraudulento, sino de aprender a dudar estructuralmente de cualquier comunicación que ponga en riesgo activos, reputación o decisiones estratégicas.

La seguridad ya no es solo un problema de tecnología. Es un problema de gestión del riesgo empresarial.

La desinformación fue solo el principio

Durante mucho tiempo, el discurso sobre los deepfakes se centró en su impacto en procesos democráticos, en su uso para manipular elecciones o difundir contenido político falso. Esa narrativa no solo era incompleta, sino peligrosa: nos distraía de lo que ya estaba ocurriendo.

Ahora sabemos que los deepfakes están entrando por la puerta principal de los negocios. Y actuar como si todavía fueran un problema aislado de las redes sociales es asumir un riesgo que muchas empresas no podrán pagar.

(This article was previously published on Fast Company)

La inteligencia artificial no está aprendiendo: está extrayendo

4 comentarios

  • #001
    Pablo - 1 enero 2026 - 12:29

    El problema real es la escalabilidad. Generar estos deepfakes a coste ridículo y que lleguen al común de los mortales: jóvenes, mayores…es cuestión de tiempo y nos obliga a plantearnos nuestro modelo de relación con los demás cuando no es de forma directa. Esto abre debates sobre los mecanismos fuertes de autenticación vs privacidad … que será la gran damnificada en aras de la seguridad..

    Feliz año a todos y a Enrique, que no descansa fiel a su articulo diario!

    Responder
  • #002
    Xaquín - 1 enero 2026 - 14:21

    «la formación tradicional contra el phishing no prepara a los empleados para enfrentarse a una versión reconstruida a la perfección de… » (Edans).

    Y esto ¿qué nos dice de los sistemas clásicos y angostados de formación (de quién sea, alumnado de lo que sea en general)? Y que, para colmo desprecia la actualización constante, porque es un esfuerzo… a veces no remunerado.

    Así como la prevención constante, incluida la contracorrrupción indispensable, para evitar que los vigilantes dejen de vigilar más o menos fácilmente.

    Responder
  • #003
    Benji - 1 enero 2026 - 15:03

    Hace medio año di un curso a mi departamento (Digital Systems) justo sobre este tema, imitando la foto y la voz de uno de nuestros directivos.

    Hubo muchas risas porque le hice decir gracias… pero las risas se acabaron cuando en otro audio les mete caña y dice que van a despedirlos si no envían el email tal y cual hoy mismo al cliente (email del hacker) con copia a 2-3 de la empresa que uso para dar legitimidad, pero subalternos del mismo directivo.

    Si lo pude hacer con herramientas rudimentarias y con algunos audios de una reunión grabada el mes anterior, imagina lo que un actor malintencionado puede hacer.

    Urge dar formaciones pero con ejemplos, no las típicas de «siguiente, next, click, click, respuesta A, click, siguiente…». Las empresas deberían contratar a alguien que pueda hacer un deepfake de los presentes para que realmente impacte

    Responder
  • #004
    Juan T. - 1 enero 2026 - 17:44

    Yo me pregunto cuanto pagaría la gente por revisitar los grandes clasicos del cine pero con incrustaciones de escenas porno , con los mismos protagonistas, en las escenas que simplemente eran romanticas.

    ¿Quien no volvería a ver Casablanca si……etc, etc ?

    Responder

Dejar un Comentario a Pablo

Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades (astroturfing) o suplantando a otros comentaristas. Los comentarios que incumplan esas normas básicas serán eliminados.

 

XHTML: Puedes utilizar estas etiquetas: A ABBR ACRONYM B BLOCKQUOTE CITE CODE DEL EM I Q STRIKE STRONG IMG

Cancelar respuesta

Logo de Enrique Dans
Resumen de privacidad

Este sitio web utiliza cookies para que pueda ofrecerte la mejor experiencia de usuario/a posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves al sitio web o ayudar a comprender qué secciones del sitio web encuentras más interesantes y útiles.