Cuando 3 segundos de voz se convierten en un fraude de 25 millones de dolares
Qué es este riesgo
El uso de síntesis de voz IA y generación de vídeo para suplantar a personas de confianza — ejecutivos, familiares, contrapartes financieras — con el objetivo de autorizar transacciones financieras fraudulentas, extraer información sensible o manipular decisiones.
El fraude por clonación de voz se ha convertido en la categoría de delito habilitado por IA de crecimiento más rápido, con pérdidas documentadas en cientos de millones a fecha de 2025.
Cómo ocurre · Mecanismos
Clonación de voz
Los modelos modernos de clonación de voz pueden crear un clon de voz convincente a partir de tan solo 3–30 segundos de audio. Las fuentes de audio incluyen:
- Posts de voz en LinkedIn
- Apariciones en YouTube/podcasts
- Grabaciones de earnings calls
- Mensajes de voz
Deepfakes de vídeo
La generación de deepfakes de vídeo ha avanzado hasta el punto de que el cambio de cara en tiempo real en videollamadas es posible con hardware de consumo. Las plataformas de videollamadas empresariales no proporcionan actualmente autenticación que verifique la identidad física de los participantes.
Incidentes reales
Fraude por clonación de voz de CEO (£243.000, 2019)
Delincuentes usaron clonación de voz IA para suplantar al CEO de una empresa energética británica, instruyendo a su subsidiaria alemana para transferir £243.000. El CFO cumplió reconociendo lo que creyó era la voz y el acento del CEO.
Videollamada deepfake del CFO (HK$200 millones, 2024)
Un trabajador financiero de Hong Kong asistió a lo que creyó era una videoconferencia de múltiples participantes con el CFO de la empresa y colegas. Todos los participantes excepto el trabajador financiero eran deepfakes. Transfirió HK$200 millones (~25,6 millones USD).
Intento de suplantación del CEO de Ferrari (2024)
Delincuentes intentaron suplantar al CEO de Ferrari Benedetto Vigna mediante clonación de voz IA en una llamada de WhatsApp. El ejecutivo se volvió sospechoso cuando el interlocutor no pudo responder a una pregunta personal sobre una conversa reciente. Intento fallido pero ampliamente reportado.
Mitigaciones · Gobernanza
- Verificación fuera de banda — Para cualquier solicitud financiera inódita recibida por teléfono o vídeo, verificar a través de una llamada iniciada de forma independiente a un número conocido
- Palabras de verificación — Establecer frases de verificación personales con contrapartes financieras clave que los defraudadores no pueden conocer
- Doble autorización — Las transferencias grandes requieren dos autorizaciones independientes de personas diferentes
- Períodos de espera — Período de enfriamiento obligatorio para solicitudes de transferencia inóditas o urgentes
- Formación de empleados — Formar al personal financiero específicamente sobre riesgos de deepfake de voz/vídeo
Riesgo que no puedes nombrar es riesgo que no puedes gestionar.
Mapea tu cartera de IA contra esta taxonomía con Zertia.
