Armar la realidad: la evolución de la tecnología deepfake
Durante décadas, los ataques de phishing han jugado con las emociones humanas para estafarles y quitarles credenciales de cuenta y dinero, y aún lo hacen. Pero a medida que la tecnología ha avanzado a pasos agigantados desde los primeros casos de phishing en la década de 1990, el phishing ya no consiste solo en detectar el mensaje obvio de estafa con errores tipográficos y gramaticales. Ahora significa cuestionar si esa llamada de su amigo o jefe es real, aunque suene exactamente como ellos. Con el auge de la inteligencia artificial, los actores maliciosos solo se vuelven más sigilosos y sofisticados, y todos deben replantearse lo que es real, acostumbrarse a buscar señales falsas y aprender a proteger mejor sus identidades tanto en línea como fuera de línea.
La ingeniería social es el término general para la multitud de formas en que atacantes y estafadores logran engañar a las personas para que divulguen información que comprometería su identidad y sus cuentas. Esta amenaza también sigue siendo uno de los principales vectores de ataque que conduce a una vulneración de datos. Esto se ha mitigado hasta cierto punto con la formación de los empleados y los filtros avanzados de spam, pero no parece aplicarse a la popular amenaza de deepfake. En 2024, más del 80 % de las empresas informaron de que no tienen protocolos establecidos para combatir los ataques basados en IA, incluidos los deepfakes.
Además, el Informe de Inteligencia de Voz 2025 de Pindrop encontró un marcado aumento en el fraude deepfake en comparación con años anteriores, reportando un aumento del 1300 %. Los ataques deepfake representan una nueva y desalentadora frontera, en la que ya no se puede confiar en lo que se ve u oye.
La tecnología detrás de los deepfakes se llama red generativa antagónica (GAN). Fue desarrollada en 2014 y publicada en un artículo de investigación por el investigador Ian Goodfellow y sus colegas. Una GAN es un tipo de modelo de machine learning que genera nuevos datos aprendiendo patrones a partir de conjuntos de datos de entrenamiento. Pero, ¿qué significa realmente esto? Una GAN consta de dos redes neuronales que compiten constantemente entre sí para crear datos realistas y falsos. Una red es el generador y la otra es el discriminador.
El generador crea contenido sintético y el discriminador determina si el contenido es real. Este ir y venir acaba haciendo que el contenido falso parezca lo más real posible. Piense en ello como afilar una espada contra un bloque de acero. Cada vez que la espada (el generador) se golpea contra el bloque de acero (el discriminador), la espada se afila.
Unos años más tarde, en 2017, el término "deepfake" fue acuñado por un usuario de Reddit que operaba bajo el nombre de "deepfakes". Esta persona abusó maliciosamente del concepto GAN. Utilizando una cuenta dedicada a contenido para adultos, lanzó algunos de los primeros videos deepfake distribuidos públicamente utilizando imágenes de personas no relacionadas para crear contenido falso y distribuirlo en línea.
Si bien los primeros deepfakes solían ser de baja calidad y más fáciles de detectar, hoy en día ya no es así. La gente publica deepfakes de voz e imagen que son muy difíciles de identificar como falsos, lo que desafía el concepto mismo de identidad y confianza en el mundo virtual.
Los deepfakes entraron en la corriente principal en 2018, con el lanzamiento de herramientas de deepfake de código abierto accesibles como DeepFaceLab. Desde entonces, las barreras técnicas para crear deepfakes realistas han disminuido constantemente. En 2023, el mercado de herramientas deepfake se disparó, con un incremento del 44 % en el desarrollo de estas herramientas. Lamentablemente, la creación de contenido explícito no consentido sobre mujeres ha servido de factor motivador para la popularización de las herramientas de deepfake. El problema está muy extendido: Security Hero informa que en 2023, aproximadamente el 98 % de los videos deepfake en línea son de naturaleza explícita y solo el 1 % de los objetivos en esa categoría son hombres.
En los últimos años, los deepfakes también se han utilizado para manipular la política y el fraude al consumidor. La mayoría de los objetivos de los deepfakes son figuras públicas, en gran parte porque tienen una gran cantidad de muestras de medios disponibles en Internet.
A principios de 2024, los electores de New Hampshire recibieron una llamada automática en la que se hacían pasar por el presidente Biden para disuadirlos de votar en las elecciones primarias demócratas. El actor malicioso incluso falsificó el identificador de llamadas para aparecer como el presidente del Partido Demócrata. Este incidente es un claro ejemplo de phishing de voz, también conocido como "vishing", utilizando audio deepfake. Desde entonces, la FCC ha prohibido el uso de voces generadas por la IA en las llamadas automáticas para suprimir votantes.
También ha habido múltiples videos deepfake con figuras públicas prominentes como Elon Musk, el primer ministro de Nueva Zelanda, Christopher Luxon y el primer ministro canadiense Justin Trudeau. Estos vídeos de deepfake promocionaban varios planes de criptomonedas para estafar a posibles inversores.
También hay usos más legítimos de la tecnología deepfake, con investigadores del Center for Advanced Virtuality del MIT deepfakeando al presidente Richard Nixon pronunciando un discurso sobre un alunizaje fallido. Este proyecto lo crearon estudiantes para advertir sobre la importancia de la alfabetización mediática en la era de los deepfakes. Disney y otros grandes estudios de Hollywood también han invertido en el uso de esta tecnología para envejecer a los actores e incluir efectos visuales avanzados en las películas.
Boletín de Think
¿Su equipo detectaría a tiempo el próximo día cero?
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
A continuación se muestran cuatro casos notables en los que se utilizó tecnología deepfake en fraude, engaño y suplantación de identidad.
Arup
A principios de 2024, la multinacional de ingeniería Arup confirmó que perdió 25 millones de dólares en una estafa de deepfake.
Un empleado de Hong Kong recibió un correo electrónico de phishing de la oficina de Arup en el Reino Unido solicitando una transacción "secreta". Naturalmente, el empleado sospechó al principio. Sus sospechas se disiparon cuando se unió a una videollamada con el director financiero y otros empleados. Reconoció esos rostros y sus voces, por lo que envió 200 millones de dólares de Hong Kong (25,6 millones de dólares). El dinero fue enviado en 15 transferencias a cinco bancos diferentes antes de que se descubriera el fraude.
El director de información digital de Arup, Rob Greig, discutió el incidente en ese momento con el Foro Económico Mundial. Greig describió el incidente como más "ingeniería social mejorada por tecnología" que como un ciberataque. No hubo compromiso del sistema ni acceso no autorizado a los datos. Se engañó a las personas para que realizaran lo que creían que eran transacciones genuinas. Greig incluso intentó crear un vídeo deepfake de sí mismo, y le llevó menos de una hora. También cree que esto ocurre más a menudo de lo que la gente podría pensar.
Este caso pone de manifiesto el devastador daño financiero que el deepfake phishing puede causar a una empresa. Casos similares también han tenido como objetivo a individuos, con personas mayores recibiendo llamadas de socorro que se hacían pasar por sus seres queridos.
Incidente del director de un instituto
El peligro de los deepfakes no solo afecta a las figuras públicas y a los ejecutivos de las empresas. En 2024, surgió el caso de un director de escuela de Baltimore que vio cómo su vida daba un vuelco a causa de un clip de audio generado por la IA en el que aparecía haciendo declaraciones racistas y antisemitas.
Un clip de audio fabricado del director de Pikesville High School, Eric Eiswert, se volvió viral en línea cuando parecía hacer declaraciones dañinas y despectivas. El clip recibió más de dos millones de visitas. Hubo una inmensa reacción tanto en línea como en la vida real. La comunidad local se indignó especialmente porque Pikesville tiene una gran población negra y judía.
Debido a la reacción violenta, Eiswert se fue de baja y la policía vigiló su casa en medio de las feroces amenazas y el acoso que estaba recibiendo. También se aumentó la seguridad en la escuela.
La defensa inicial de Eiswert, de que el clip era falso, fue mal recibida y desestimada como que Eiswert evitaba la responsabilidad. El clip se publicó inicialmente en enero de 2024. La policía local tardó hasta abril en confirmar que la grabación era falsificada. La policía arrestó al director deportivo de la escuela, Dazhon Darien, por cargos relacionados con el vídeo falso. Eiswert había estado investigando a Darien por robo de dinero escolar y problemas de rendimiento laboral. En abril de 2025, Dazhon Darien se declaró culpable por haber comprado herramientas de clonación de IA.
El incidente tuvo efectos perjudiciales en la reputación de Eiswert, lo que obligó a Eiswert a cambiar de trabajo y trabajar en otra escuela.
Fraude de voz del CEO del Reino Unido
Uno de los primeros grandes ataques deepfake ocurrió en 2019, cuando se utilizó audio deepfake para robar 243 000 dólares de una empresa del Reino Unido.
El CEO de una empresa energética británica no identificada recibió una llamada del CEO de la empresa matriz alemana. El CEO del Reino Unido señaló que la llamada incluso llevaba la "melodía" del CEO alemán. Los estafadores llamaron un total de tres veces. En la primera llamada, el estafador solicitó al CEO del Reino Unido que transfiriera 243 000 USD a la cuenta bancaria de un proveedor húngaro. El CEO cumplió. En la segunda llamada, reclamaron el reembolso de la transferencia. En la tercera y última llamada, la persona que llamaba buscaba un pago de seguimiento. Después de que el CEO del Reino Unido notara que la transferencia no se había reembolsado, se negó a enviar ningún pago de seguimiento. El primer importe se transfirió a la cuenta bancaria húngara, luego a México y a otros lugares, lo que dificultó la atribución.
Este primer caso de fraude deepfake es un canario de lo ambiciosos y sofisticados que serían estos esquemas más tarde.
Esquema criptográfico del grupo de actores de amenazas BlueNoroff
Como uno de los ataques más recientes ocurridos en junio de 2025, el grupo de actores de amenazas con sede en Corea del Norte, BlueNoroff, utilizó tecnología deepfake para atacar a las empresas de criptomonedas.
Un empleado de una empresa de criptomonedas recibió un enlace de Calendly para un Google Meet. Dos semanas después, el empleado se unió a una llamada de Zoom controlada por el actor de amenazas. La llamada estuvo llena de versiones falsificadas de los directivos sénior. Cuando el empleado experimentó un problema de audio, los atacantes enviaron una extensión de Zoom maliciosa. La extensión de Zoom era en realidad un script que implementaba malware para secuestrar cualquier billetera criptográfica que se encontrara en el sistema.
Este ataque pone de relieve cómo los actores de amenazas combinan ahora la ingeniería social tradicional con la suplantación de deepfakes en tiempo real, lo que dificulta significativamente la verificación para los usuarios finales.
Los deepfakes ya no son una amenaza potencial; la amenaza y sus consecuencias son muy reales y presentes. Los deepfakes actuales están a punto de socavar la confianza en el proceso de verificación de identidad en línea en el que confían muchas organizaciones, especialmente del sector financiero. Con más personas que nunca autenticándose mediante biometría en todos sus dispositivos, el crecimiento del uso malicioso de deepfakes puede llevar a una necesidad imperiosa de replantearse la seguridad de la autenticación en los próximos cinco años o antes.
Como se ha demostrado en ataques recientes, la barrera de entrada para crear deepfakes realistas ha disminuido drásticamente. Desde voces clonadas hasta suplantaciones de vídeo completas, los deepfakes potencian a los estafadores y defraudadores de formas que son más difíciles de detectar y defenderse.
Otro aspecto que debe tomarse en serio es el uso de deepfakes por parte de los acosadores escolares que se burlan y acosan a sus compañeros, atacan a los educadores o intentan representarse a sí mismos en situaciones destinadas a amenazar e intimidar a otros. Esta tendencia al ciberacoso no hace más que agravarse con el paso del tiempo, y exige a los padres que eduquen a los niños y estén muy atentos a las posibles amenazas.
Comprender la amenaza es el primer paso para defenderse de ella. Con más formación en seguridad para los usuarios finales y aprovechando las herramientas emergentes de detección de deepfakes, las organizaciones y los particulares pueden empezar a luchar contra esta nueva amenaza.
¿Quiere más información? Póngase en contacto con los expertos de X-Force para una sesión informativa individual y hablar sobre deepfakes, amenazas de deepfake y cómo su equipo puede entrenarse para identificarlos y frustrar a los actores de amenazas antes de que se produzcan daños.
Nuestro equipo de rango cibernético le invita a entrenar como si peleara en una de nuestras ubicaciones globales, en sus oficinas o virtualmente. Póngase en contacto con nosotros hoy mismo.