Marc Sureda
En julio del año pasado, el Instituto Nacional de Ciberseguridad alertó de estafas dirigidas a empresas, advirtiendo de ataques orientados específicamente a las pequeñas y medianas organizaciones del país. Meses después, en abril de este mismo año; las autoridades notificaron un repunte de ciberdelitos basados en la suplantación de identidad, destacando el incremento de engaños dirigidos a los empleados para forzar movimientos de capital urgentes. Estos incidentes reflejan una tendencia cronológica al alza que ha llevado a empresas de ciberseguridad, como ESET, a investigar a fondo cómo la IA generativa permite crear escenarios de fraude altamente realistas al abaratar los costes y reducir las barreras técnicas necesarias para ejecutar estos ataques.
Los expertos de la compañía señalan que los mecanismos de verificación que tradicionalmente aportaban confianza se encuentran comprometidos. En el entorno corporativo actual, la imitación de la voz de directivos busca forzar transferencias financieras rápidas o alteraciones en las credenciales de acceso. Los atacantes se aprovechan de las dinámicas de jerarquía y confidencialidad habituales en las oficinas, logrando su objetivo a partir de pequeñas muestras de audio extraídas de conferencias o redes sociales. A estas grabaciones se les aplican modificaciones algorítmicas que introducen pausas y ruidos de fondo para maximizar la credibilidad de la solicitud telefónica.
Josep Albors, director de Investigación y Concienciación de ESET España señala: “La cuestión de fondo no es únicamente que existan deepfakes o herramientas de clonación, sino que estas tecnologías están rebajando la barrera técnica, reduciendo costes y aumentando el realismo con el que puede simularse una identidad. En la práctica, eso permite que ataques ya conocidos evolucionen hacia escenarios mucho más convincentes y difíciles de detectar, tanto para las personas como para ciertos sistemas automatizados”.
Vulnerabilidades en la validación biométrica
Más allá del ámbito sonoro, el reconocimiento facial presenta debilidades significativas frente a tácticas evasivas de nueva generación. Aunque estos sistemas se han estandarizado en los procesos de alta bancaria y vigilancia, diversas pruebas de estrés demuestran su fragilidad. Durante una serie de ensayos prácticos llevados a cabo por analistas de la firma de seguridad, se logró abrir una cuenta bancaria con un rostro ficticio generado por algoritmos, eludiendo con éxito los controles automatizados de la entidad, a la cual se le notificó posteriormente la brecha tras clausurar el perfil.
Las pruebas experimentales continuaron en espacios públicos para evaluar los circuitos cerrados de televisión. En una de estas demostraciones, un investigador consiguió evadir los sistemas de vigilancia de una estación utilizando alteración facial en tiempo real, superponiendo los rasgos de un actor famoso sobre su propia cara sin que el software lograra identificarlo. Adicionalmente, el uso de gafas inteligentes permitió a los analistas cruzar información visual en vivo con bases de datos públicas de internet para perfilar a individuos anónimos.
Ante este panorama que cuestiona la fiabilidad de la biometría como factor único de autenticación, la recomendación de los especialistas pasa por una revisión completa de las estrategias corporativas. En primer lugar, es fundamental actualizar la formación de las plantillas para que los empleados aprendan a detectar audios sintéticos y no cedan ante peticiones críticas inusuales. A nivel operativo, resulta imperativo exigir vías de comunicación alternativas y aprobaciones múltiples para transacciones sensibles, estableciendo contraseñas verbales pactadas previamente. Finalmente, toda esta estructura debe apoyarse en tecnologías probadas en escenarios de ataque reales, obligando a los proveedores de software de verificación a certificar que sus herramientas resisten asaltos prácticos más allá de los entornos controlados de laboratorio.
