La clonación de voces mediante inteligencia artificial se está convirtiendo en una herramienta cada vez más empleada por ciberdelincuentes. Los ataques dirigidos a altos cargos y empleados clave ya no requieren contraseñas: con solo su voz, los atacantes pueden acceder a información confidencial o realizar transferencias fraudulentas.

La irrupción de la inteligencia artificial generativa en el ámbito empresarial ha traído avances sin precedentes, pero también riesgos considerables. Uno de los más alarmantes es el aumento del “vishing con IA”, una forma avanzada de phishing telefónico que utiliza voces clonadas para engañar, manipular y robar datos o dinero. Esta amenaza no es futurista ni marginal: ya ha afectado a políticos, directivos y equipos financieros en diversas industrias. Lo más preocupante es que basta con una muestra de voz corta, fácilmente obtenible de redes sociales o grabaciones pasadas, y acceso a plataformas de clonación basadas en IA, muchas disponibles en línea, para llevar a cabo estos ataques.

¿Cómo funciona el vishing con inteligencia artificial? Los delincuentes obtienen una grabación de la voz del objetivo, incluso de solo unos segundos. Luego utilizan sistemas de clonación para crear un modelo realista y, mediante llamadas, mensajes o notas de audio en aplicaciones cifradas como WhatsApp o Signal, simulan ser el directivo para solicitar transferencias, accesos o autorizaciones, logrando así engañar a los empleados y ejecutar acciones maliciosas. Este fenómeno, conocido como deepfake auditivo, presenta voces sintetizadas que son difíciles de detectar y que pueden ser desplegadas a gran escala.

Los puestos de alta dirección, como CEOs, CFOs o directores de operaciones, son especialmente vulnerables, dado que sus voces suelen estar disponibles públicamente en ruedas de prensa, podcasts o vídeos corporativos. Esa exposición, combinada con la alta confianza que generan, los convierte en blancos preferidos para ataques de ingeniería social muy personalizados. En algunos casos, empleados han recibido llamadas “urgentes” solicitando transferencias o acceso a cuentas, que resultaron ser fraudulentas; operaciones que se completaron antes de que alguien pudiera cuestionar su legitimidad.

Para proteger a ejecutivos y empleados de confianza, las organizaciones deben implementar una estrategia integral basada en personas, procesos y tecnología. Entre las principales medidas destacan:

– Resguardar la huella vocal: limitar la publicación pública de audios, configurar restricciones de privacidad en redes sociales y evitar usar mensajes de voz en temas sensibles.
– Implementar sistemas de verificación dual: exigir doble confirmación para solicitudes importantes, utilizando otros canales como correos firmados o llamadas verificadas.
– Capacitar a empleados clave: identificar roles sensibles y entrenarlos en técnicas de detección de suplantaciones con IA, incluyendo simulaciones de ataques internos.
– Crear contraseñas verbales internas: frases clave que sirvan para confirmar identidades, mantenidas fuera de canales digitales.
– Monitorizar y responder a incidentes: integrar sistemas de detección de deepfakes, establecer canales internos para reportar contactos sospechosos y preparar respuestas coordinated con comunicación y áreas legales.

El vishing con IA ejemplifica cómo las tecnologías emergentes son aprovechadas por actores maliciosos, pero también impulsa una carrera de innovación en defensa. La detección de voces sintéticas, auditorías de patrones vocales, análisis contextual y biometría auditiva avanzada son herramientas en desarrollo para contrarrestar esta amenaza.

En definitiva, la protección de los directivos y empleados clave dependerá no solo de nuevas tecnologías, sino también de una cultura organizacional consciente del riesgo, con procesos sólidos y equipos preparados. La seguridad del siglo XXI ya no se basa únicamente en contraseñas: también en la confianza, y en la voz.