Fraude con deepfake: reconoce y resiste la suplantación con IA

Lectura de 9 min aprox.

Con el rápido avance de la tecnología de deepfake, el fraude de identidad que falsifica voces y videos con alta precisión se ha convertido en una amenaza grave. Según el informe de Sumsub de 2024, el fraude de verificación de identidad mediante deepfakes aumentó diez veces respecto al año anterior, siendo la mejora en la precisión de la síntesis de voz en tiempo real la causa principal del aumento de los daños. A partir de 2025, la rápida evolución de la IA generativa ha reducido significativamente el costo de crear deepfakes, bajando la barrera de entrada para los atacantes a niveles sin precedentes. Estafas telefónicas imitando las voces de supervisores o familiares, instrucciones fraudulentas de transferencias bancarias mediante videollamadas idénticas a la persona real: la sabiduría convencional de "verificar viendo" o "juzgar por la voz" se está volviendo obsoleta. Este artículo explica las tácticas del fraude con deepfakes y las estrategias de defensa mediante la autenticación reforzada con Passtsuku.com.

Qué debería hacer realmente

El núcleo de la defensa contra deepfakes es "nunca verificar la identidad solo por voz o video." Si es principiante, adquiera el hábito de colgar siempre y devolver la llamada al número de contacto oficial de la persona cuando reciba solicitudes de transferencias bancarias o compartir contraseñas por teléfono o videollamada. Solo esto puede prevenir la mayoría de las estafas con deepfakes. Para usuarios intermedios, establezcan palabras clave de emergencia con la familia y el lugar de trabajo, y habiliten la autenticación multifactor en todas las cuentas. Las contraseñas aleatorias generadas por Passtsuku.com no pueden ser vulneradas por deepfakes que imitan características humanas.

Tácticas de fraude con deepfakes

Estafas telefónicas con deepfakes de voz

Ha surgido tecnología que puede reproducir la voz de una persona específica con más del 95% de similitud a partir de solo 3 segundos de muestra de audio. Los atacantes recopilan muestras de voz de videos en redes sociales y mensajes de voz, luego realizan llamadas telefónicas haciéndose pasar por supervisores o familiares. El aspecto peligroso de esta táctica es que solicitudes como "necesito urgentemente una transferencia" o "dime tu contraseña" son difíciles de cuestionar porque la voz suena exactamente como la persona real.

En un caso de 2024 en Hong Kong, un empleado de contabilidad fue engañado para transferir aproximadamente HK$200 millones (unos US$25.6 millones) a través de una videoconferencia usando imágenes deepfake de múltiples ejecutivos, incluido el CFO. El principio de la síntesis de voz implica que un modelo de aprendizaje profundo aprende las características de la voz del hablante (tono, frecuencias formantes, patrones de velocidad del habla) y lee cualquier texto con la voz de ese hablante. Verificar la identidad solo por voz ya no puede considerarse seguro.

Estafas por videollamada con deepfakes visuales

La tecnología deepfake que intercambia rostros en tiempo real ha hecho posible la suplantación de identidad mediante videollamadas. Se han confirmado tácticas donde los atacantes se hacen pasar por socios comerciales o supervisores en reuniones en línea de Zoom o Teams para exigir la divulgación de información confidencial o el intercambio de contraseñas. Dado que el video a través de pantallas tiene resolución limitada, detectar falsificaciones es difícil.

Un punto importante a tener en cuenta es que la tecnología actual de intercambio de rostros en tiempo real está optimizada para rostros frontales, por lo que tienden a aparecer artefactos no naturales (parpadeo, desalineación de contornos) con vistas de perfil o movimientos bruscos de cabeza. Si los movimientos de la otra persona parecen poco naturales durante una videollamada, métodos de verificación simples como pedirle que gire hacia un lado o que se cubra parte del rostro con la mano pueden ser efectivos.Libros sobre detección de deepfakes y seguridad de reconocimiento facial (Amazon) también son útiles para comprender la tecnología de detección.

Cuentas de suplantación que explotan las redes sociales

Se han creado cuentas de redes sociales que suplantan a personas reales utilizando fotos de rostros generadas por deepfake como imágenes de perfil. Las tácticas incluyen hacerse pasar por amigos o colegas para enviar enlaces de phishing o extraer información personal. Las imágenes faciales generadas por GANs (Redes Generativas Adversarias) han alcanzado un nivel en el que son indistinguibles de fotos reales para el ojo humano, haciendo virtualmente imposible juzgar la autenticidad solo por las fotos de perfil. Un error común es pensar que "se pueden detectar las imágenes artificiales con solo mirar," pero los últimos modelos generativos reproducen con precisión incluso los patrones de reflejo del iris y las texturas de la piel, lo que hace peligroso depender de la identificación visual.

Estrategias de defensa contra el fraude con deepfakes

Fortalecer la verificación de identidad con autenticación multifactor

Dado que la verificación de identidad basada en voz y video ya no es confiable, la autenticación multifactor que combina contraseñas y verificación en dos pasos es la piedra angular de la defensa. Genere contraseñas únicas y fuertes para cada servicio usando Passtsuku.com, y configure la verificación en dos pasos con una aplicación de autenticación o una llave de seguridad de hardware. Incluso si alguien lo suplanta con un deepfake, vulnerar tanto la contraseña como el código de autenticación es extremadamente difícil. Según el informe de seguridad de Microsoft de 2024, las cuentas con autenticación multifactor habilitada tienen un 99.2% menos de riesgo de acceso no autorizado en comparación con las cuentas que solo usan contraseña. La ingeniería social basada en deepfakes a menudo se combina con ataques de phishing, por lo que aprender técnicas de protección contra phishing también es esencial. Además, tenga en cuenta los riesgos de la autenticación biométrica, ya que los deepfakes pueden potencialmente eludir los sistemas de reconocimiento facial y de voz.

Establecer palabras clave y procedimientos de devolución de llamada

Establezca procedimientos de verificación con anticipación con su familia y equipo de trabajo para solicitudes importantes realizadas por teléfono o videollamada. Por ejemplo, reglas efectivas incluyen confirmar a través de un canal de comunicación diferente (correo electrónico, chat) cuando se solicitan transferencias bancarias o compartir información confidencial, o verificar la identidad con una palabra clave preestablecida. Cambie las palabras clave regularmente y compártalas en persona, no digitalmente. Dado que los atacantes de deepfake pueden analizar el historial de comunicaciones pasadas para adivinar las palabras clave, es importante elegir contenido difícil de adivinar desde el exterior, como recuerdos personales o bromas internas.

No cumpla con solicitudes sospechosas

Las solicitudes que aplican presión psicológica como "urgente," "ahora mismo" o "no se lo digas a nadie" son patrones típicos de fraude. Según el informe de 2024 del IC3 (Centro de Quejas de Delitos en Internet) del FBI, los daños por Compromiso de Correo Electrónico Empresarial (BEC) alcanzaron aproximadamente $2.9 mil millones anuales, con tácticas que combinan deepfakes aumentando rápidamente. Sin importar cuán real parezca la voz o el video, no cumpla con solicitudes de transferencias bancarias o compartir contraseñas a través de procedimientos inusuales. Al colgar y devolver la llamada al número de contacto oficial de la persona, puede detectar la suplantación.Guías de defensa contra ingeniería social y manipulación psicológica (Amazon) también puede ayudar a mejorar sus defensas al aprender sobre las técnicas psicológicas de los atacantes.

Lista de verificación de contramedidas contra deepfakes

• Siempre reconfirme solicitudes importantes (transferencias, compartir contraseñas) a través de un canal de comunicación diferente
• Establezca palabras clave de emergencia con la familia y el trabajo, y cámbielas regularmente
• Minimice la visibilidad de su contenido de voz y video en redes sociales
• Habilite la autenticación multifactor en todas las cuentas
• Deténgase cuando enfrente solicitudes que enfaticen "urgente" o "ahora mismo"
• Esté atento a artefactos de video no naturales (desalineación de contornos, parpadeo) durante videollamadas

Al combinar esto con el conocimiento de defensa contra ingeniería social, puede fortalecer aún más su resistencia a la manipulación psicológica mediante deepfakes.

Fortalecimiento de la protección de cuentas

Con la evolución de la tecnología deepfake, la importancia de la autenticación que no depende de la "apariencia" o la "voz" está aumentando. Las contraseñas aleatorias generadas por Passtsuku.com no pueden ser vulneradas por deepfakes que imitan características humanas. Combine las siguientes medidas para mejorar la seguridad de su cuenta.

• Genere contraseñas aleatorias de 16 caracteres o más para cada servicio usando Passtsuku.com
• Configure la verificación en dos pasos con una aplicación de autenticación o llave de hardware en todas las cuentas
• Proteja la cuenta de correo electrónico utilizada para restablecer contraseñas como máxima prioridad
• Minimice la visibilidad de la información personal en redes sociales
• No abra enlaces o archivos adjuntos sospechosos
• Restrinja la visibilidad de los mensajes de voz para prevenir la filtración de muestras de voz

Un caso extremo a tener en cuenta son los ataques combinados que emparejan deepfakes con phishing. Por ejemplo, una táctica donde la voz deepfake de un supervisor instruye "te estoy enviando un correo ahora, haz clic en el enlace," seguida inmediatamente por un correo de phishing, crea un efecto sinérgico entre la confianza basada en la voz y la urgencia del correo, supuestamente causando que las tasas de daño se tripliquen en comparación con los ataques individuales. Se espera que la tecnología deepfake se vuelva aún más sofisticada en el futuro. Fortalecer las medidas de autenticación técnica y construir un marco de seguridad que no dependa únicamente del juicio humano es la mejor manera de protegerse del fraude de identidad.

Lo que puede hacer ahora mismo

1. Genere una contraseña de 16 caracteres o más con Passtsuku.com y configúrela para su cuenta de correo electrónico y servicios financieros
2. Configure la autenticación multifactor con una aplicación de autenticación en todas las cuentas importantes
3. Establezca palabras clave con su familia y equipo de trabajo para transferencias bancarias y compartir información confidencial
4. Restrinja la visibilidad del contenido de voz y video en redes sociales a "solo amigos"
5. Cuando le soliciten una transferencia urgente por teléfono o videollamada, siempre cuelgue y devuelva la llamada al número de contacto oficial como regla estricta

Preguntas frecuentes

¿Hay alguna forma de detectar deepfakes?

Las pistas incluyen parpadeo antinatural, contornos faciales parpadeantes y desincronización entre audio y labios. Sin embargo, con el avance tecnológico la detección es más difícil, por lo que lo más confiable es verificar la identidad por un canal de comunicación separado en lugar de confiar solo en video o audio.

¿Qué métodos se usan en el fraude de identidad con deepfakes?

Los métodos incluyen llamadas de vishing imitando la voz de un jefe o socio comercial para ordenar transferencias, suplantar a alguien en videoconferencias para extraer información confidencial y hacerse pasar por conocidos en redes sociales para pedir dinero. Se han reportado casos de fraude CEO con daños de cientos de millones.

¿Qué pueden hacer las personas para protegerse del fraude con deepfakes?

La primera medida preventiva es evitar compartir excesivamente fotos faciales y grabaciones de voz en redes sociales. Para solicitudes que involucren dinero o información confidencial, siempre verifique con la persona por un canal separado. Establecer una palabra clave entre familiares también es efectivo.