Las llamadas falsas generadas con inteligencia artificial se han convertido en una nueva amenaza para las empresas, según advirtió la compañía de ciberseguridad ESET, que alerta sobre el uso de clonación de voz y audios deepfake para cometer fraudes financieros o secuestrar cuentas corporativas.
La expansión de la inteligencia artificial generativa facilitó la creación de audios y videos falsos con gran realismo. De acuerdo con ESET, ahora es posible fabricar un clip falso con apenas unos segundos de audio de una persona, lo que permite a los ciberdelincuentes hacerse pasar por ejecutivos o proveedores para engañar a empleados dentro de las organizaciones.
Datos citados por el Gobierno británico indican que el año pasado se compartieron hasta 8 millones de clips falsos, una cifra muy superior a los 500,000 difundidos en 2023. Los expertos consideran que el número real podría ser incluso mayor y advierten que muchas empresas aún subestiman el riesgo.
Según ESET, los ataques suelen iniciar cuando un delincuente selecciona a la persona que desea suplantar, como un director ejecutivo o un responsable financiero. Luego obtiene una breve muestra de audio disponible en internet —por ejemplo en entrevistas, redes sociales o conferencias— y utiliza herramientas de inteligencia artificial para generar una voz sintética con la que realiza llamadas a empleados de la empresa.
“Este tipo de ataque es cada vez más barato, sencillo y convincente. Algunas herramientas son capaces incluso de insertar ruido de fondo, pausas y tartamudeos para que la voz suplantada resulte más creíble. Cada vez imitan mejor los ritmos, las inflexiones y los tics verbales propios de cada orador. Y cuando un ataque se lanza por teléfono, los fallos relacionados con la IA pueden ser más difíciles de detectar para quien atiende”, advirtió Macio Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
Los atacantes también recurren a técnicas de ingeniería social para presionar a las víctimas con solicitudes urgentes, como transferencias bancarias o cambios en contraseñas.
Uno de los casos más conocidos ocurrió en 2020, cuando un empleado de una empresa en Emiratos Árabes Unidos transfirió $35 millones tras recibir una llamada que simulaba la voz de su director solicitando fondos para una supuesta operación empresarial.
Para reducir estos riesgos, ESET recomienda reforzar la capacitación de los empleados, verificar por canales alternativos cualquier solicitud telefónica relacionada con dinero o datos sensibles, y establecer protocolos internos como la aprobación de dos personas para transferencias importantes o el uso de contraseñas acordadas previamente para confirmar la identidad de ejecutivos.
“Las falsificaciones son sencillas y su producción cuesta poco. Dadas las enormes sumas que pueden obtener los estafadores, es poco probable que veamos pronto el final de las estafas de clonación de voz. Por lo tanto, la mejor opción que tiene una organización para mitigar el riesgo es un triple enfoque basado en las personas, los procesos y la tecnología. Para que se adapte a medida que avanza la innovación en IA, es importante que sea revisado periódicamente. El nuevo panorama del ciberfraude exige una atención constante”, concluyó Micucci.