Deepfake

En los últimos años, deepfake se ha convertido en uno de los términos más preocupantes dentro de la ciberseguridad y la gestión de identidad digital. Derivado de “deep learning” y “fake”, el término se refiere a medios sintéticos –imágenes, videos o audios– creados o manipulados a través de inteligencia artificial para que parezcan auténticos. Los deepfakes pueden imitar el rostro, la voz o el comportamiento de una persona con tal precisión que incluso los profesionales entrenados o las herramientas avanzadas de detección pueden tener dificultades para distinguirlos del contenido real.

¿Qué es un Deepfake?

Un deepfake es un contenido generado por inteligencia artificial que reemplaza la apariencia o la voz de una persona por la de otra utilizando redes neuronales. Al entrenarse con grandes conjuntos de datos de expresiones faciales, patrones de voz y movimientos, estos modelos pueden producir falsificaciones hiperrealistas. Si bien los deepfakes surgieron inicialmente en el ámbito del entretenimiento y las redes sociales, rápidamente se transformaron en una amenaza importante para las instituciones y empresas –especialmente en el sector financiero– (consulte la guía de JuicyScore sobre fraude impulsado por IA generativa para más información).

La tecnología de deepfake va mucho más allá de los simples intercambios de rostros en video. Los deepfakes de audio pueden imitar de forma convincente la voz de un director ejecutivo para instruir una transferencia fraudulenta. Los deepfakes visuales pueden falsificar documentos de identidad o videollamadas en tiempo real durante procesos de registro o incorporación en línea. Y los deepfakes de texto –generados mediante grandes modelos de lenguaje– pueden reproducir estilos de escritura o comunicación para ejecutar ataques de ingeniería social.

Por qué los Deepfakes son importantes para las instituciones financieras

Para bancos, prestamistas y aseguradoras, el fraude con deepfake introduce una nueva dimensión del riesgo digital. Los sistemas tradicionales de detección de fraude dependen de verificaciones estáticas –como la validación de documentos o la coincidencia biométrica–, pero los deepfakes explotan justamente esas capas. Un video sintético puede eludir el reconocimiento facial. Una voz clonada puede engañar a un centro de atención telefónica. Una identificación alterada digitalmente puede superar controles KYC de baja calidad.

Este tipo de fraude, a menudo combinado con account takeover, identidad sintética o esquemas de suplantación, socava la confianza a gran escala. Deteriora la seguridad de los procesos de incorporación digital y desafía a las instituciones a verificar quién está realmente detrás de una transacción.

Detección y prevención del fraude con Deepfake

Prevenir el fraude con deepfake requiere un enfoque adaptable y de múltiples capas que vaya más allá de la superficie del contenido. En lugar de enfocarse únicamente en señales visuales o de audio, las instituciones líderes recurren a la inteligencia de dispositivos y al análisis del comportamiento para detectar anomalías invisibles al ojo humano.

Las señales a nivel de dispositivo –como la coherencia del hardware, los patrones de acceso remoto o los indicadores de virtualización– revelan si una sesión digital se realiza desde un dispositivo real o desde un entorno manipulado. Combinadas con el behavioral scoring, estas señales pueden detectar ataques impulsados por deepfake mucho antes de que lleguen a la etapa de transacción.

La tecnología de JuicyScore, por ejemplo, ayuda a las organizaciones financieras a identificar correlaciones sutiles entre el comportamiento del dispositivo y la intención del usuario. Al analizar cientos de parámetros no personales –incluyendo la integridad del dispositivo, la aleatorización y el contexto de acceso– las empresas pueden fortalecer sus procesos de autenticación sin depender de datos biométricos que pueden ser falsificados o robados fácilmente.

Caso real: la estafa de Arup con Deepfake

En mayo de 2024, el uno de los casos más impactantes de fraude con deepfake. El grupo de ingeniería británico Arup perdió aproximadamente 25 millones de dólares (HK$200 millones) después de que estafadores usaran una versión digitalmente clonada de su director financiero para instruir transferencias durante una videoconferencia falsa en Hong Kong.

Según la policía de Hong Kong, un empleado recibió lo que parecía ser un mensaje legítimo del CFO de la sede en Reino Unido sobre una transacción confidencial. Luego participó en una videollamada en la que aparecían varios colegas y el propio CFO —todos eran en realidad deepfakes generados por IA—. Durante la llamada, el empleado realizó una serie de 15 transferencias a cinco cuentas bancarias locales, sumando millones de dólares.

El avance de la tecnología deepfake pone de manifiesto que la verificación humana por sí sola ya no es suficiente. Los sistemas de prevención de fraude deben evolucionar hacia evaluaciones continuas y basadas en contexto, capaces de detectar no solo quién está hablando o apareciendo, sino cómo lo está haciendo –a través de su huella digital, las señales de confianza del dispositivo y la coherencia del comportamiento–.

El futuro de la detección de Deepfakes

A medida que la inteligencia artificial generativa se vuelve más accesible, la línea entre lo real y lo sintético seguirá difuminándose. Para las instituciones financieras, esto significa integrar la detección de deepfakes directamente en sus marcos de riesgo y cumplimiento. No se trata solo de tecnología, sino también de políticas, formación y confianza del cliente.

Construir resiliencia digital requiere pruebas continuas de los controles antifraude, validación cruzada de las fuentes de datos y sistemas de scoring adaptativos que evolucionen con cada nuevo patrón detectado. En definitiva, las instituciones que logren combinar inteligencia basada en datos con principios éticos de IA estarán mejor preparadas para afrontar la era de los deepfakes –protegiendo tanto a sus usuarios como su reputación–.