Empleado de Arup pierde 25 millones de dólares en una estafa por videoconferencia con IA mediante deepfake

Un empleado de finanzas de la firma de ingeniería global Arup transfirió cerca de 25 millones de dólares tras unirse a una videoconferencia que parecía incluir al director financiero de la empresa y varios colegas, solo para descubrir más tarde que casi todos los participantes habían sido generados mediante IA. El incidente tuvo éxito porque los atacantes eludieron los controles técnicos explotando la confianza humana a través de voces y rostros sintéticos convincentes durante la llamada. Según una nueva guía publicada por Resemble AI, este caso se ha convertido en un ejemplo definitorio de cómo los deepfakes han evolucionado de demostraciones aisladas a un riesgo de seguridad generalizado que afecta a empresas, instituciones financieras y agencias gubernamentales, con investigaciones de Gartner, el FBI y el Foro Económico Mundial que mapean el creciente panorama de amenazas.

Empleado de Arup autoriza transferencia de 25 millones de dólares durante videoconferencia generada por IA

El incidente de Arup se ha convertido en el estudio de caso principal de la industria sobre fraude con deepfakes. Un empleado de finanzas sospechó inicialmente de un correo de phishing solicitando una transacción confidencial. En lugar de actuar de inmediato, el empleado se unió a lo que parecía ser una videoconferencia con el director financiero y varios colegas. Todos parecían auténticos y sonaban auténticos, y la reunión parecía completamente legítima. Siguiendo las instrucciones recibidas durante la llamada, el empleado autorizó múltiples transferencias bancarias por un total de aproximadamente 25 millones de dólares. Solo después, los investigadores determinaron que casi todos los participantes en la llamada habían sido generados con IA. El ataque tuvo éxito porque eludió los controles técnicos en los que las organizaciones han invertido décadas en mejorar, sin malware, endpoints comprometidos ni archivos adjuntos maliciosos. El empleado había identificado correctamente el correo sospechoso, pero ese juicio fue anulado por la aparente confirmación proporcionada por rostros y voces familiares durante la videollamada.

Gartner informa que el 62% de las organizaciones sufrió ataques con deepfakes

Según la investigación de Gartner citada en el informe de Resemble AI, el 62% de las organizaciones experimentaron un ataque con deepfake en los últimos 12 meses. Casi siete de cada diez ataques apuntaron a sistemas de video, mientras que el 67% se dirigió a comunicaciones por voz. El informe del Centro de Quejas por Delitos en Internet del FBI de 2025 estimó que las estafas habilitadas por IA generaron aproximadamente 893 millones de dólares en pérdidas reportadas. Los investigadores también estiman que durante 2025 circulaban en línea alrededor de ocho millones de piezas de medios sintéticos, lo que representa un crecimiento explosivo respecto a unos pocos años antes. Aunque las estimaciones varían según la metodología, todos los estudios principales apuntan en la misma dirección: la engañosa generada por IA se expande a un ritmo que los controles de seguridad existentes nunca fueron diseñados para manejar. Para las instituciones financieras, las implicaciones van mucho más allá de la desinformación en redes sociales, ya que cada proceso que depende del reconocimiento de voz, verificación por video o confianza en la identidad digital se convierte en una posible superficie de ataque.

La tecnología de clonación de voz requiere solo segundos de audio

El informe de Resemble AI argumenta que las organizaciones deben dejar de ver los deepfakes como eventos aislados de ciberseguridad y tratarlos en cambio como un problema de identidad. La tecnología de clonación de voz ahora requiere solo segundos de audio disponible públicamente para producir imitaciones convincentes. Presentaciones en conferencias, llamadas de resultados, podcasts y entrevistas se convierten efectivamente en material de entrenamiento para atacantes que buscan suplantar a ejecutivos. La generación de video ha experimentado mejoras similares, con lo que antes requería efectos visuales costosos ahora producidos con herramientas de IA para consumidores capaces de generar expresiones faciales convincentes, discursos sincronizados y llamadas de video realistas. Gartner predijo previamente que para 2026, el 30% de las empresas ya no considerarían confiable la verificación de identidad por sí sola debido a los deepfakes generados por IA, una previsión que el informe destaca como cada vez más relevante a medida que los ataques se vuelven más sofisticados.

Los servicios financieros enfrentan suplantación de ejecutivos y estafas de inversión

Aunque los ataques con deepfake afectan a múltiples industrias, los servicios financieros enfrentan una exposición única porque muchas decisiones de alto valor dependen de comunicaciones confiables. Aprobaciones de pagos, recuperación de cuentas, incorporación remota, consultas de gestión patrimonial y atención al cliente ocurren cada vez más por canales digitales donde la identidad se ha establecido tradicionalmente de forma visual o mediante reconocimiento de voz. La guía identifica varios patrones recurrentes de ataque que ya afectan a las organizaciones. La suplantación de ejecutivos sigue siendo la categoría de mayor valor, usando ejecutivos clonados para autorizar pagos fraudulentos. Las estafas de inversión continúan usando videos generados por IA de políticos, celebridades y personalidades financieras promoviendo plataformas de trading o criptomonedas falsas. El fraude en contratación ha emergido como otra preocupación creciente, con identidades sintéticas y solicitantes generados por IA intentando obtener empleo dentro de organizaciones para acceder a sistemas o información sensible. El fraude al consumidor sigue evolucionando mediante voces generadas por IA que imitan a familiares durante las llamadas de secuestro virtual o ataques de suplantación en atención al cliente.

Las herramientas de seguridad tradicionales no detectan ataques basados en percepción

El informe sostiene que la mayoría de las inversiones en ciberseguridad se enfocan en detectar software malicioso, correos sospechosos o dispositivos comprometidos, pero los deepfakes operan de manera diferente, atacando la percepción en lugar de las redes. Cuando un empleado legítimo autoriza un pago usando un portátil confiable durante una videollamada que parece normal, los controles de seguridad convencionales a menudo no detectan nada inusual. No hay archivos adjuntos maliciosos que aislar ni dispositivos comprometidos, simplemente un humano tomando una decisión empresarial que parece legítima basada en evidencia visual y auditiva fraudulenta. Esa distinción explica por qué las empresas ven cada vez más la detección de deepfakes como una disciplina de seguridad separada, en lugar de una extensión de las tecnologías anti-phishing existentes.

La guía de Resemble AI recomienda una estrategia de defensa en cuatro capas

En lugar de depender de una sola solución, el informe recomienda un enfoque en capas que combine cuatro capacidades complementarias. La primera se centra en la verificación de identidad mediante detección de vitalidad y autenticación continua. La segunda establece la procedencia usando tecnologías como Credenciales de Contenido y marcas de agua digitales para verificar el origen del contenido. La tercera emplea sistemas de detección de IA capaces de analizar audio, video e imágenes en busca de artefactos asociados con generación sintética, proporcionando resultados explicables que los equipos de seguridad puedan investigar. La capa final va más allá de la detección, con monitoreo continuo que permite a las organizaciones identificar suplantación de ejecutivos, uso fraudulento de marcas y otros deepfakes circulando públicamente antes de que ganen tracción. Según el informe, ninguna capa individual puede eliminar la amenaza, y las organizaciones deben suponer que los atacantes eventualmente eludirán los controles individuales y diseñar programas de seguridad en consecuencia.

Preguntas frecuentes

¿Qué ocurrió en el incidente de deepfake en Arup?
Un empleado de finanzas de la firma de ingeniería global Arup transfirió cerca de 25 millones de dólares tras unirse a una videoconferencia que parecía incluir al director financiero y varios colegas. Los investigadores determinaron posteriormente que casi todos los participantes en la llamada habían sido generados con IA, con atacantes usando voces y rostros sintéticos convincentes para explotar la confianza humana y eludir los controles de seguridad técnicos.

¿Cuántas organizaciones experimentaron ataques con deepfakes según Gartner?
Según la investigación de Gartner citada en el informe de Resemble AI, el 62% de las organizaciones sufrió un ataque con deepfake en los últimos 12 meses. Casi siete de cada diez ataques apuntaron a sistemas de video, mientras que el 67% se dirigió a comunicaciones por voz, con el informe del FBI de 2025 estimando aproximadamente 893 millones de dólares en pérdidas reportadas por estafas habilitadas por IA.

¿Qué estrategia de defensa recomienda la guía de Resemble AI contra los deepfakes?
La guía recomienda una estrategia en cuatro capas que combina verificación de identidad mediante detección de vitalidad y autenticación continua, establecimiento de la procedencia usando Credenciales de Contenido y marcas de agua digitales, sistemas de detección de IA capaces de analizar audio y video en busca de artefactos sintéticos, y monitoreo continuo para identificar suplantación de ejecutivos y uso fraudulento de marcas antes de que ganen tracción.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios