Un empleado de finanzas de la firma de ingeniería global Arup transfirió cerca de 25 millones de dólares tras unirse a una videoconferencia que parecía incluir al director financiero de la empresa y varios colegas, solo para descubrir más tarde que casi todos los participantes habían sido generados mediante IA. El incidente tuvo éxito porque los atacantes eludieron los controles técnicos explotando la confianza humana a través de voces y rostros sintéticos convincentes durante la llamada. Según una nueva guía publicada por Resemble AI, este caso se ha convertido en un ejemplo definitorio de cómo los deepfakes han evolucionado de demostraciones aisladas a un riesgo de seguridad generalizado que afecta a empresas, instituciones financieras y agencias gubernamentales, con investigaciones de Gartner, el FBI y el Foro Económico Mundial que mapean el creciente panorama de amenazas.
El incidente de Arup se ha convertido en el estudio de caso principal de la industria sobre fraude con deepfakes. Un empleado de finanzas sospechó inicialmente de un correo de phishing solicitando una transacción confidencial. En lugar de actuar de inmediato, el empleado se unió a lo que parecía ser una videoconferencia con el director financiero y varios colegas. Todos parecían auténticos y sonaban auténticos, y la reunión parecía completamente legítima. Siguiendo las instrucciones recibidas durante la llamada, el empleado autorizó múltiples transferencias bancarias por un total de aproximadamente 25 millones de dólares. Solo después, los investigadores determinaron que casi todos los participantes en la llamada habían sido generados con IA. El ataque tuvo éxito porque eludió los controles técnicos en los que las organizaciones han invertido décadas en mejorar, sin malware, endpoints comprometidos ni archivos adjuntos maliciosos. El empleado había identificado correctamente el correo sospechoso, pero ese juicio fue anulado por la aparente confirmación proporcionada por rostros y voces familiares durante la videollamada.
Según la investigación de Gartner citada en el informe de Resemble AI, el 62% de las organizaciones experimentaron un ataque con deepfake en los últimos 12 meses. Casi siete de cada diez ataques apuntaron a sistemas de video, mientras que el 67% se dirigió a comunicaciones por voz. El informe del Centro de Quejas por Delitos en Internet del FBI de 2025 estimó que las estafas habilitadas por IA generaron aproximadamente 893 millones de dólares en pérdidas reportadas. Los investigadores también estiman que durante 2025 circulaban en línea alrededor de ocho millones de piezas de medios sintéticos, lo que representa un crecimiento explosivo respecto a unos pocos años antes. Aunque las estimaciones varían según la metodología, todos los estudios principales apuntan en la misma dirección: la engañosa generada por IA se expande a un ritmo que los controles de seguridad existentes nunca fueron diseñados para manejar. Para las instituciones financieras, las implicaciones van mucho más allá de la desinformación en redes sociales, ya que cada proceso que depende del reconocimiento de voz, verificación por video o confianza en la identidad digital se convierte en una posible superficie de ataque.
El informe de Resemble AI argumenta que las organizaciones deben dejar de ver los deepfakes como eventos aislados de ciberseguridad y tratarlos en cambio como un problema de identidad. La tecnología de clonación de voz ahora requiere solo segundos de audio disponible públicamente para producir imitaciones convincentes. Presentaciones en conferencias, llamadas de resultados, podcasts y entrevistas se convierten efectivamente en material de entrenamiento para atacantes que buscan suplantar a ejecutivos. La generación de video ha experimentado mejoras similares, con lo que antes requería efectos visuales costosos ahora producidos con herramientas de IA para consumidores capaces de generar expresiones faciales convincentes, discursos sincronizados y llamadas de video realistas. Gartner predijo previamente que para 2026, el 30% de las empresas ya no considerarían confiable la verificación de identidad por sí sola debido a los deepfakes generados por IA, una previsión que el informe destaca como cada vez más relevante a medida que los ataques se vuelven más sofisticados.
Aunque los ataques con deepfake afectan a múltiples industrias, los servicios financieros enfrentan una exposición única porque muchas decisiones de alto valor dependen de comunicaciones confiables. Aprobaciones de pagos, recuperación de cuentas, incorporación remota, consultas de gestión patrimonial y atención al cliente ocurren cada vez más por canales digitales donde la identidad se ha establecido tradicionalmente de forma visual o mediante reconocimiento de voz. La guía identifica varios patrones recurrentes de ataque que ya afectan a las organizaciones. La suplantación de ejecutivos sigue siendo la categoría de mayor valor, usando ejecutivos clonados para autorizar pagos fraudulentos. Las estafas de inversión continúan usando videos generados por IA de políticos, celebridades y personalidades financieras promoviendo plataformas de trading o criptomonedas falsas. El fraude en contratación ha emergido como otra preocupación creciente, con identidades sintéticas y solicitantes generados por IA intentando obtener empleo dentro de organizaciones para acceder a sistemas o información sensible. El fraude al consumidor sigue evolucionando mediante voces generadas por IA que imitan a familiares durante las llamadas de secuestro virtual o ataques de suplantación en atención al cliente.
El informe sostiene que la mayoría de las inversiones en ciberseguridad se enfocan en detectar software malicioso, correos sospechosos o dispositivos comprometidos, pero los deepfakes operan de manera diferente, atacando la percepción en lugar de las redes. Cuando un empleado legítimo autoriza un pago usando un portátil confiable durante una videollamada que parece normal, los controles de seguridad convencionales a menudo no detectan nada inusual. No hay archivos adjuntos maliciosos que aislar ni dispositivos comprometidos, simplemente un humano tomando una decisión empresarial que parece legítima basada en evidencia visual y auditiva fraudulenta. Esa distinción explica por qué las empresas ven cada vez más la detección de deepfakes como una disciplina de seguridad separada, en lugar de una extensión de las tecnologías anti-phishing existentes.
En lugar de depender de una sola solución, el informe recomienda un enfoque en capas que combine cuatro capacidades complementarias. La primera se centra en la verificación de identidad mediante detección de vitalidad y autenticación continua. La segunda establece la procedencia usando tecnologías como Credenciales de Contenido y marcas de agua digitales para verificar el origen del contenido. La tercera emplea sistemas de detección de IA capaces de analizar audio, video e imágenes en busca de artefactos asociados con generación sintética, proporcionando resultados explicables que los equipos de seguridad puedan investigar. La capa final va más allá de la detección, con monitoreo continuo que permite a las organizaciones identificar suplantación de ejecutivos, uso fraudulento de marcas y otros deepfakes circulando públicamente antes de que ganen tracción. Según el informe, ninguna capa individual puede eliminar la amenaza, y las organizaciones deben suponer que los atacantes eventualmente eludirán los controles individuales y diseñar programas de seguridad en consecuencia.
¿Qué ocurrió en el incidente de deepfake en Arup?
Un empleado de finanzas de la firma de ingeniería global Arup transfirió cerca de 25 millones de dólares tras unirse a una videoconferencia que parecía incluir al director financiero y varios colegas. Los investigadores determinaron posteriormente que casi todos los participantes en la llamada habían sido generados con IA, con atacantes usando voces y rostros sintéticos convincentes para explotar la confianza humana y eludir los controles de seguridad técnicos.
¿Cuántas organizaciones experimentaron ataques con deepfakes según Gartner?
Según la investigación de Gartner citada en el informe de Resemble AI, el 62% de las organizaciones sufrió un ataque con deepfake en los últimos 12 meses. Casi siete de cada diez ataques apuntaron a sistemas de video, mientras que el 67% se dirigió a comunicaciones por voz, con el informe del FBI de 2025 estimando aproximadamente 893 millones de dólares en pérdidas reportadas por estafas habilitadas por IA.
¿Qué estrategia de defensa recomienda la guía de Resemble AI contra los deepfakes?
La guía recomienda una estrategia en cuatro capas que combina verificación de identidad mediante detección de vitalidad y autenticación continua, establecimiento de la procedencia usando Credenciales de Contenido y marcas de agua digitales, sistemas de detección de IA capaces de analizar audio y video en busca de artefactos sintéticos, y monitoreo continuo para identificar suplantación de ejecutivos y uso fraudulento de marcas antes de que ganen tracción.
Noticias relacionadas
Trader pierde 1 millón de dólares en un ataque de phishing con Permit2 en Uniswap
El token C 羅 USWR y un video de "deepfake" con audio han sido expuestos, y ya se han difundido en varias plataformas a principios de julio
Intuición general: financiamiento de 320 millones de dólares, ajuste en 8 minutos para que el cerebro de IA pase a ser un perro robot
Amazon Issues $25B Bonds as Big Tech Debt Raises Wall Street Concerns
Jim Cramer: Las ganancias del segundo trimestre de Samsung señalan un cambio en las acciones de IA hacia las grandes tecnológicas