Armar la realidad: la evolución de la tecnología deepfake
Durante décadas, los ataques de phishing han estado jugando con las emociones humanas para estafarlos con credenciales de cuentas y dinero, y todavía lo hacen. Pero a medida que la tecnología ha avanzado a pasos agigantados desde los primeros casos de phishing en la década de 1990, el phishing ya no consiste solo en detectar el mensaje obvio de estafa con errores tipográficos y gramaticales. Ahora significa cuestionar si esa llamada de su amigo o jefe es real, incluso si suena exactamente como ellos. Con el auge de la inteligencia artificial, los actores maliciosos son cada vez más sigilosos y sofisticados, y todos deben repensar lo que es real, acostumbrarse a buscar señales falsas y aprender a proteger mejor sus identidades dentro y fuera de línea.
La ingeniería social es el término general para la multitud de formas en que atacantes y estafadores logran engañar a las personas para que divulguen información que comprometería su identidad y sus cuentas. Esta amenaza también sigue siendo uno de los principales vectores de ataque que conduce a una filtración de datos. Esto se ha mitigado hasta cierto punto mediante la capacitación de los empleados y los filtros avanzados de spam, pero no parece aplicarse a la tendencia de la amenaza Deepfake. En 2024, más del 80 % de las empresas informaron que no cuentan con protocolos para luchar contra los ataques basados en IA, incluidos los deepfakes.
Además, el Reporte de Inteligencia de Voz 2025 de Pindrop encontró un marcado aumento en el fraude deepfake en comparación con años anteriores, informando un aumento del 1300%. Los ataques de deepfake representan una nueva frontera desalentadora, en la que ya no se puede confiar en lo que se ve o se escucha.
La tecnología detrás de los deepfakes se llama Generative Adversarial Network (GAN). Fue desarrollado en 2014 y publicado en un artículo de investigación por el investigador Ian Goodfellow y sus colegas. Un GAN es un tipo de modelo de aprendizaje automático que genera nuevos datos aprendiendo patrones de conjuntos de datos. Pero, ¿qué significa realmente esto? Una GAN consta de dos neural networks que compiten constantemente entre sí para crear datos realistas y falsos. Una red es el generador y la otra es el discriminador.
El generador crea contenido sintético y el discriminador determina si el contenido es real. Este ir y venir acaba haciendo que el contenido falso parezca lo más real posible. Piense en ello como afilar una espada contra un bloque de acero. Cada vez que la espada (el Generador) se golpea contra el bloque de acero (el Discriminador), la espada se afila.
Unos años más tarde, en 2017, el término "deepfake" fue acuñado por un usuario de Reddit que operaba bajo el nombre "deepfakes". Esta persona abusó maliciosamente del concepto GAN. Utilizando una cuenta dedicada al contenido para adultos, lanzó algunos de los primeros videos deepfake distribuidos públicamente utilizando imágenes de personas no relacionadas para crear contenido falso y distribuirlo en línea.
Mientras que los primeros deepfakes solían ser de baja calidad y más fáciles de detectar. Hoy en día, eso ya no es así. Las personas están publicando deepfakes de voz e imagen, que son muy difíciles de identificar como falsos, lo que desafía el concepto mismo de identidad y confianza en el mundo virtual.
Los deepfakes entraron en la corriente principal en 2018, con el lanzamiento de herramientas de deepfake de código abierto accesibles como DeepFaceLab. Desde entonces, las barreras técnicas para crear deepfakes realistas han disminuido constantemente. En 2023, el mercado de herramientas deepfake se disparó, con un incremento del 44% en el desarrollo de estas herramientas. Desafortunadamente, la creación de contenido explícito no consensuado de mujeres ha servido como factor motivador para la popularización de herramientas de deepfake. El problema es rampante, ya que Security Hero informa que en 2023, aproximadamente el 98 % de los videos deepfake en línea son de naturaleza explícita, y solo el 1 % de los objetivos en esa categoría son hombres.
En los últimos años, los deepfakes también se han utilizado para manipular la política y el fraude al consumidor. La mayoría de los objetivos de los deepfakes son figuras públicas, en gran parte porque tienen una gran cantidad de muestras de medios disponibles en Internet.
A principios de 2024, los electores de New Hampshire recibieron una llamada robótica que se hizo pasar por el presidente Biden para disuadirlos de votar en las elecciones primarias demócratas. El malintencionado actor incluso sufiguró el identificador de llamadas para aparecer como el presidente del Partido Demócrata. Este incidente es un claro ejemplo de voice phishing, también conocido como "vishing", utilizando audio deepfake. Desde entonces, la FCC ha prohibido el uso de voces generadas por IA en llamadas automáticas para suprimir el voto.
También hubo múltiples videos deepfake con figuras públicas prominentes como Elon Musk, el primer ministro de Nueva Zelanda, Christopher Luxon y el primer ministro canadiense, Justin Trudeau. Estos videos deepfake promovieron varios esquemas de criptomonedas para estafar a posibles inversores.
También hay usos más legítimos de la Tecnología deepfake, con investigadores del Centro de Virtualidad Advanced del MIT que el presidente Richard Nixon pronuncia un discurso sobre un aterrizaje lunar fallido. Este proyecto fue creado por estudiantes para advertir sobre la importancia de la alfabetización mediática en la era de los deepfakes. Disney y otros grandes estudios de Hollywood también han invertido en el uso de esta tecnología para rejuvenecer a los actores e incluir efectos visuales avanzados en las películas.
Boletín de noticias Think
¿Su equipo captaría a tiempo el próximo día cero?
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
A continuación se presentan cuatro casos notables en los que se utilizó tecnología deepfake en fraude, engaño y suplantación de identidad.
Arup
A principios de 2024, la empresa multinacional de ingeniería Arup confirmó que perdió 25 millones de dólares debido a una estafa de deepfake.
Un empleado de Hong Kong recibió un correo electrónico de phishing de la oficina de Arup en el Reino Unido solicitando una transacción "secreta". Naturalmente, el empleado sospechó al principio. Sus sospechas se disiparon cuando se unió a una videollamada con el director financiero y varios otros empleados. Reconoció estos rostros y sus voces, por lo que envió 200 millones de dólares de Hong Kong (USD 25.6M). El dinero fue enviado en 15 transferencias a cinco bancos diferentes antes de que se descubriera el fraude.
El director de información digital de Arup, Rob Greig, discutió el incidente en ese momento con el Foro Económico Mundial. Greig describió el incidente como más "ingeniería social mejorada por tecnología" en lugar de un ataque cibernético. No hubo compromiso del sistema ni acceso no autorizado a los datos. Se engañó a las personas para que realizaran lo que pensaban que eran transacciones genuinas. Greig incluso intentó crear un video falso de sí mismo, y le tomó menos de una hora. También cree que esto ocurre con más frecuencia de lo que la gente podría pensar.
Este caso destaca el devastador daño financiero que el deepfake phishing puede tener en una empresa. Casos similares también tuvieron como objetivo a individuos, con personas mayores recibiendo llamadas de socorro que se hacían pasar por sus seres queridos.
Incidente del director de una escuela secundaria
El peligro de los deepfakes se extiende no solo a figuras públicas y ejecutivos de empresas. En 2024, surgió un caso de un director en Baltimore que tuvo su vida patas arriba debido a un clip de audio generado por IA en el que aparecía hacer declaraciones racistas y antisemitas.
Un clip de audio fabricado del director de Pikesville High School, Eric Eiswert, se volvió viral en línea cuando parecía hacer declaraciones dañinas y despectivas. El clip recibió más de dos millones de visitas. Hubo una inmensa reacción tanto en línea como en la vida real. La comunidad local se indignó especialmente porque Pikesville tiene una gran población negra y judía.
Debido a la reacción violenta, Eiswert se fue de licencia y la policía estaba estacionada para proteger su casa en medio de las amenazas y el acoso que estaba recibiendo. También se aumentó la seguridad en la escuela.
La defensa inicial de Eiswert de que el video era falso fue mal recibida y descartada como una forma de Eiswert de eludir su responsabilidad. El clip se publicó inicialmente en enero de 2024. La policía local tardó hasta abril en confirmar que la grabación era falsificada. La policía arrestó al director deportivo de la escuela, Dazhon Darien, por cargos relacionados con el video falso. Eiswert había estado investigando a Darien por robo de dinero escolar y problemas de rendimiento laboral. En abril de 2025, Dazhon Darien se declaró culpable de haber comprado herramientas de clonación de IA.
El incidente tuvo efectos perjudiciales en la reputación de Eiswert, lo que obligó a Eiswert a mover de trabajo y trabajar en otra escuela.
Fraude de voz del director ejecutivo (CEO) del Reino Unido
Uno de los primeros grandes ataques deepfake ocurrió en 2019, cuando se empleó audio deepfake para robar 243.000 dólares de una compañía del Reino Unido.
El CEO de una empresa energética británica no identificada recibió una llamada del CEO de la empresa matriz alemana. El CEO del Reino Unido señaló que la llamada incluso llevaba la "melodía" del CEO alemán. Los estafadores llamaron un total de tres veces. En la primera llamada, el estafador solicitó al director ejecutivo del Reino Unido que transfiriera USD 243,000 a la cuenta bancaria de un proveedor húngaro. El director ejecutivo cumplió. En la segunda llamada, afirmaron que se reembolsó la transferencia. En la tercera y última llamada, la persona que llamó solicitaba un pago adicional. Después de que el director ejecutivo (CEO) del Reino Unido se percatara de que, en realidad, la transferencia no se había reembolsado, se negó a enviar ningún pago posterior. El primer monto se transfirió a la cuenta bancaria húngara, luego a México y a otros lugares, lo que dificultó la atribución.
Este caso temprano de fraude con deepfakes es un indicio de lo ambiciosos y sofisticados que llegarían a ser estos planes más adelante.
Esquema criptográfico BlueNoroff del grupo de actores de amenazas
Como uno de los ataques más recientes ocurrido en junio de 2025, el grupo de actores de amenazas con sede en Corea del Norte, BlueNoroff, utilizó tecnología deepfake para atacar a las empresas de criptomonedas.
Un empleado de una empresa de criptomonedas recibió un enlace de Calendly para un Google Meet. Dos semanas después, el empleado se unió a una llamada de Zoom controlada por el actor de amenazas. La llamada estuvo llena de versiones falsificadas de altos directivos. Cuando el empleado experimentó un problema de audio, los atacantes enviaron una extensión de Zoom maliciosa. La extensión de Zoom era en realidad un script que desplegaba malware para secuestrar cualquier billetera criptográfica que se encontrara en el sistema.
Este ataque destaca cómo los actores de amenazas ahora combinan la ingeniería social tradicional con la suplantación de deepfake en tiempo real, lo que dificulta significativamente la verificación para los usuarios finales.
Los deepfakes ya no son una amenaza potencial; La amenaza y sus consecuencias son muy reales y presentes. Hoy en día, los deepfakes están a punto de socavar la confianza en el proceso de verificación de identidad en línea en el que muchas organizaciones, especialmente en el sector financiero, han llegado a confiar. Con más personas que nunca autenticándose mediante biometría en todos sus dispositivos, el crecimiento del uso malicioso de deepfakes puede llevar a una necesidad imperiosa de replantear la seguridad de la autenticación en los próximos cinco años, o antes.
Como se demostró en ataques recientes, la barrera de entrada para crear deepfakes realistas ha disminuido drásticamente. Desde voces clonadas hasta suplantaciones de video completo, los deepfakes empoderan a los estafadores y defraudadores de maneras que son más difíciles de detectar y defenderse.
Otro aspecto que debe tomarse en serio es el uso de deepfakes por parte de los acosadores escolares que se burlan y acosan a sus compañeros, se dirigen a los educadores o intentan presentarse en situaciones destinadas a amenazar e intimidar a otros. Esta tendencia al ciberacoso no hace más que empeorar con el tiempo, por lo que se insta a los padres a educar a sus hijos y a estar muy atentos a las posibles amenazas.
Entender la amenaza es el primer paso para defenderse de ella. Con más capacitación en seguridad para el usuario final y aprovechando las herramientas emergentes de detección de deepfake, las organizaciones y las personas pueden comenzar a luchar contra esta nueva amenaza.
¿Desea obtener más información? Póngase en contacto con los expertos de X-Force para una sesión informativa individual y hable sobre deepfakes, amenazas de deepfake y cómo su equipo puede capacitarse para identificarlos y frustrar a los actores de amenazas antes de que se produzcan daños.
Nuestro equipo de Cyber Range lo invita a entrenar como si peleara en una de nuestras ubicaciones globales, sus oficinas o virtualmente. Contáctanos hoy mismo.