Table of Contents
Debo reconocer que siempre he sido un amante de la ciencia ficción; sin embargo, en los entornos de hoy, los deepfakes la han superado.
Y es que solo basta recordar el caso de Arup, compañía de ingeniería británica, que vivió uno de sus momentos más aciagos al perder por estafa 200 millones de dólares de Hong Kong (25 millones de dólares americanos).
De acuerdo con el caso mencionado en la página del Foro Económico Mundial, donde el director de Información de la compañía Rob Greig habló sobre las lecciones aprendidas.
Esto ocurrió a comienzos de 2024, cuando debido a deepfakes de video y voz, hechos con IA generativa, un empleado envió el dinero a los delincuentes.
El señor Greig comentó en la introducción al documento Unpacking Cyber Resilience:
Las señales auditivas y visuales son muy importantes para nosotros como humanos, y estas tecnologías se basan en ellas. Creo que realmente debemos empezar a cuestionar lo que vemos.
Asimismo, es preocupante que los ciberdelincuentes puedan incluso encontrar herramientas para realizar sus actos criminales en la dark web, pagando por servicios diseñados, con los cuales buscan engañar y sacar provecho.
¿Qué es el “deepfake-as-a-service” y por qué está creciendo tan rápido en la dark web?
El DFaaS (deepfake-as-a-service), de acuerdo con Fabiana Ramírez, especialista en seguridad informática del Laboratorio de ESET Latinoamérica, es un “servicio” que el usuario paga y un proveedor lo hace a pedido. Se vende tanto en sitios comunes como en la dark web.
El deepfake no necesariamente es ilícito, pero lo es cuando se utiliza con fines maliciosos: suplantación de identidades, entrenamiento de IA con imágenes de personas sin su consentimiento, o cualquier finalidad ilegal.
En la dark web, el DFaaS se ofrece principalmente con fines maliciosos, y su uso crece porque los proveedores ya tienen herramientas listas para usar, incluso con guías detalladas o entregando el producto terminado.
De esta forma, los cibercriminales han encontrado una manera eficaz de acceder a estas herramientas y perpetrar ataques que, como en el caso de Arup, no vulneraron sistemas, sino que fueron una sofisticada forma de ingeniería social usando IA.
Ramírez agrega que los marketplaces clandestinos que ofrecen este tipo de servicios están en la dark web, en Telegram y probablemente en otras apps de mensajería.
Los pagos suelen hacerse en criptomonedas como USDT o XMR. Hasta comienzos de este año operó MrDeepfakes, un sitio que creaba deepfakes pornográficos, con precios que iniciaban en 80 USD.
Más allá de las imágenes, también hay servicios de clonación de voz a muy bajo precio e incluso algunos de código abierto. Arriba una imagen simulada para ilustrar la exactitud de los engaños en imágenes.
Un vistazo a Colombia y la región
Para entender el alcance de este tipo de ataques, consultamos con la especialista sobre los sectores más afectados en la región, a lo cual nos respondió:
- El sector bancario y financiero, ha sido afectado con el uso de voz clonada como una especie de ingeniería social y videos falsos para suplantar autoridades. Ante esta situación, el Banco de la República y Asobancaria han emitido alertas en Colombia.
- De otra parte en el sector gobierno, en países como México, se han conocido audios y anuncios falsos que suplantan a líderes para estafas y desinformación.
Estos engaños funcionan no solo por lo sofisticado de la tecnología, sino porque muchas personas desconocen su existencia o no saben cómo identificarlas.
Así las cosas, en un mundo digital que avanza rápido, mantenerse informado sobre cómo evoluciona la tecnología -y los riesgos que trae consigo- ya no es opcional: es una forma de autoprotección.
También lo señaló Isabel Manjarrez, investigadora de seguridad del Equipo Global de Investigación y Análisis de Kaspersky.
Mirando hacia adelante: el futuro del fraude con IA
De igual manera, según un informe reciente de Kaspersky, el 63 % de los encuestados no sabe qué es un deepfake y el 72 % tampoco sabe cómo reconocerlo.
La falta de conocimiento es ampliamente aprovechada por los ciberdelincuentes: por lo tanto las estafas con mensajes falsos aumentaron un 120 % en Colombia durante 2024.
Entre los principales riesgos que se pueden reconocer ante esta tendencia, podemos citar:
- Acceso a sitios falsos para robar datos personales y bancarios.
- Compras de mercancías inexistentes.
- Engaños con supuestos familiares, amigos o causas benéficas.
El impacto económico y reputacional
Otro caso reciente conoció tuvo lugar en Panamá, donde ciberdelincuentes manipularon la voz e imagen de una alta ejecutiva de la banca regional para difundir falsas ofertas de inversión en redes sociales.
Aunque no hubo pérdidas económicas directas, el impacto reputacional fue considerable y obligó a desmontar contenidos fraudulentos.
Según Iván Lendner de Whalemate (en la foto durante el CyberSecurity 2025):
Un ataque promedio de ransomware en Latinoamérica por ejemplo, cuesta cerca de 4 millones de dólares.
El 90 % de las empresas ha sufrido incidentes y ocurren 1.600 ataques por segundo en la región.
La IA facilita ataques más sofisticados, pero lo central sigue siendo el factor humano: el 90 % de los ataques entra por allí.
Detectar deepfakes: la visión de los expertos
De acuerdo con David López Agudelo, vicepresidente de ventas para Latinoamérica de Appgate:
Hoy en día se usa inteligencia artificial y análisis automatizado para detectar patrones de manipulación en videos y audios.
Además, se combinan estrategias que validan continuamente la identidad de usuarios y dispositivos.
Así mismo, el profesor Félix Uribe, de la Universidad de Maryland Global Campus (UMGC), abajo en la foto, agrega:
El reto académico es que los estudiantes incluyan información sin tener claro su origen. Por eso reforzamos la importancia de citar fuentes y validar material.
En mi caso uso la IA como asistente, no para reemplazar la docencia, sino para enseñar a usar bien la tecnología.
Colombia reforzó su Código Penal contra la suplantación con inteligencia artificial
Para enfrentar los delitos que implican tecnologías como deepfakes, clonación de voz o imágenes creadas por IA con el fin de cometer falsedad o engaño con personas, la Ley 2502 de 2025 incorporó un agravante (circunstancia que incrementa la gravedad de un delito).
Además, ordenó al Gobierno, Fiscalía, Policía, MinTIC y MinJusticia a diseñar una política pública integral sobre el uso ético de la IA en suplantaciones.
Esa política debe incluir: Ética digital, Cooperación interinstitucional, Capacitación, Desarrollo tecnológico, Transparencia, gobernanza, respuesta rápida ante incidentes y Cooperación internacional.
También obliga a la Fiscalía a poner en marcha un sistema de trazabilidad tecnológica capaz de detectar patrones de fraude y anticipar nuevos riesgos en un escenario cada vez más digital.
De esta forma, el país se adapta jurídicamente para enfrentar este tipo de delitos que han surgido a partir del avance de tecnologías emergentes como la IA. Y se constituye en un valioso avance para la sociedad colombiana.
Buscando una solución oportuna basada en la concientización del usuario
Los deepfakes (engaños profundos) no solo exigen soluciones técnicas, también educación digital temprana, cooperación internacional y un uso responsable de la IA generativa.
El camino está en capacitar a las personas, fortalecer la ciberseguridad y promover alianzas entre gobiernos, empresas y la academia.
Solo así se podrá frenar el fraude digital y recuperar la confianza en un mundo donde lo real y lo falso conviven cada vez más de cerca.
¿Qué opinas sobre este nuevo flagelo cibernético, cómo podrías estar alerta ante un eventual deepfake? Escríbenos en los comentarios.
