Las estafas con inteligencia artificial ya no son un riesgo teórico: el jefe de seguridad de Magnific, Daniel Púa, alerta de que el phishing con IA se está refinando hasta el punto de suplantar la voz y el rostro de familiares en videollamadas falsas.
Claves de la operación
- La IA convierte el phishing tradicional en ataques personalizados. Las llamadas deepfake con voces clonadas y las videollamadas falsas se multiplicarán, según Púa, y será cada vez más difícil distinguirlas.
- El sector empresarial es el primer blanco, pero el salto al usuario masivo está cerca. En Magnific ya sufren intentos de estafa suplantando al CEO con audios y vídeos, y lo mismo se trasladará a los hogares.
- La defensa pasa por sistemas de doble verificación y una ‘palabra secreta’ familiar. Los expertos recomiendan confirmar cualquier petición sospechosa por un canal distinto y crear una contraseña doméstica que la IA no pueda adivinar.
El salto del phishing tradicional a las voces clonadas y las videollamadas deepfake
Durante años, el phishing se reconocía por las faltas de ortografía y los enlaces fraudulentos de falsos bancos. Pero la IA ha cambiado las reglas. Según Púa, las nuevas herramientas permiten clonar la voz de un familiar con apenas un minuto de audio y generar una videollamada falsa en tiempo real. El coste técnico y la complejidad se han desplomado, abriendo la puerta a estafas a escala industrial.
«Van a empezar a llegar llamadas con la voz de un familiar, videollamadas con el vídeo de un familiar, y ahí es cuando se va a complicar la cosa», ha advertido en declaraciones recogidas por Xataka. El propio Google ha desarrollado funciones contra las llamadas deepfake, pero el problema avanza más rápido que las soluciones estándar.
De las estafas a empresas al usuario de a pie: la nueva mina de oro de los ciberdelincuentes
Magnific, la plataforma de mejora de imágenes con IA antes conocida como Freepik, ya experimenta en primera persona este fenómeno. Púa confirma que reciben «muchísimos intentos de estafa haciéndose pasar por nuestro CEO, por WhatsApp, con audios y de todo». El paso siguiente, según su análisis, es inevitable: una vez asentada la técnica en el entorno corporativo, saltará al consumidor masivo.
El caso del empleado que transfirió 25 millones de dólares en una videollamada falsa donde todos los participantes eran deepfakes excepto él mismo demuestra el poder de esta nueva amenaza. «Al ser una estafa mucho más masiva ya no es un único objetivo, pero son cientos de miles de personas y alguno picará», señala Púa. El phishing con IA deja de ser un riesgo de nicho para convertirse en un problema de seguridad nacional.

La diferencia ya no está en la ortografía, sino en la necesidad de una palabra secreta que ni la IA puede adivinar.
Para protegerse, el jefe de seguridad de Magnific recomienda una medida casera pero eficaz: acordar una contraseña familiar. «Si te pide algo extraño, le dices: ¿cuál es nuestra palabra secreta? Y te aseguras de que sea la persona correcta». A esta práctica se suma la doble verificación por canales independientes, como confirmar por WhatsApp lo que se ha pedido por teléfono.
Por qué la banca española y los reguladores miran con lupa estas amenazas
El sector financiero español lleva años combatiendo el fraude digital, pero el deepfake añade una capa de riesgo que no cubren los actuales sistemas de autenticación. Entidades como Santander, BBVA o CaixaBank han invertido cientos de millones en inteligencia artificial para detectar transacciones anómalas, pero la suplantación de identidad mediante voz o vídeo burla los mecanismos que simplemente verifican contraseñas o códigos SMS.
Desde el punto de vista regulatorio, el Banco de España ha emitido varias alertas sobre el fraude por ingeniería social, y el supervisor europeo ya prepara directrices específicas para el uso de biometría y la prevención del fraude con deepfake. Telefónica Tech, la división de ciberseguridad de la teleco del IBEX 35, ha reforzado sus servicios de detección de deepfake para grandes corporaciones, pero la protección del consumidor doméstico sigue siendo una asignatura pendiente.
En esta redacción entendemos que el verdadero salto cualitativo llegará cuando los modelos de IA de código abierto, como los que menciona Púa, encuentren vulnerabilidades masivas en aplicaciones cotidianas. El «cambio de paradigma» del que habla no reside solo en el poder de las herramientas, sino en la brecha entre la velocidad del ataque y la de la regulación. Mientras los organismos europeos debaten estándares, los ciudadanos ya están en el punto de mira.
Según las pautas del Instituto Nacional de Ciberseguridad (INCIBE), la prevención pasa por la educación digital y el diseño de mecanismos de verificación que no dependan de un único canal. La contraseña familiar que propone Magnific es un primer paso barato y efectivo, pero difícilmente escalable a nivel social. El próximo frente estará en los servicios financieros y en las plataformas de comunicación, que deberán integrar capas de verificación biométrica resistentes a deepfakes. Hasta entonces, la palabra secreta será el cordón de seguridad de miles de hogares españoles.




