Aquella videollamada no era él: cómo detectar un deepfake antes de pagar o firmar
Jordi lleva una empresa de reformas en las afueras de Barcelona, con cuatro empleados. Un miércoles por la mañana recibe una videollamada de Teams del "jefe de obra" de un cliente habitual: una promotora con la que llevan meses negociando la reforma de varios pisos. En la pantalla está la cara de siempre, la voz de siempre, hasta el fondo habitual del despacho. Le pide aprobar por escrito una ampliación de presupuesto y hacer un anticipo del 30% ese mismo día, porque "si no se bloquea el material, se pierde el precio".
Jordi hace la transferencia. Dos días después, el jefe de obra real le llama preguntando por una reforma de la que no sabe nada.
Hasta hace poco, para montar una estafa así bastaba con clonar una voz. Ahora la tecnología ha dado un paso más: también se puede falsificar la imagen en directo. Es lo que se conoce como deepfake de vídeo, y ya ha llegado a las videollamadas de empresa, no solo a los vídeos virales de famosos.
Cómo es posible falsificar una videollamada
Las herramientas actuales permiten generar, a partir de unas fotos o vídeos públicos de una persona (una web corporativa, un perfil de LinkedIn, una entrevista), una cara sintética que se mueve y habla en tiempo real durante una llamada. No es perfecto, pero con una conexión mediocre, poca luz o una pantalla pequeña, puede pasar por real si no le prestas suficiente atención.
Combinado con la voz clonada (que ya existe desde hace tiempo), el resultado es una persona "completa" al otro lado de la pantalla que parece, habla y se mueve como alguien que conoces. El objetivo suele ser el de siempre: un pago urgente, un cambio de datos bancarios o tu firma en un documento importante.
Las señales de alarma
Los deepfakes de vídeo todavía tienen puntos débiles. Si detectas dos o tres a la vez, desconfía:
Movimientos raros de la cara o la boca. Parpadeo que no encaja, la boca que no acaba de ir sincronizada con el sonido, o una expresión que se queda "congelada" unos instantes.
Iluminación o contorno de la cabeza poco naturales. A menudo hay un borde ligeramente distinto entre la cara y el pelo, o una luz que no coincide con el resto de la habitación.
Excusas técnicas para no encender bien la cámara o cambiar de ángulo. "Tengo poca conexión", "la cámara no va bien hoy". Si pides que se gire o se acerque y siempre encuentra una razón para no hacerlo, alerta.
Urgencia y presión económica, igual que en las llamadas de voz clonada: hay que decidir ya, no hay tiempo de consultarlo con nadie.
Una petición que sale del canal habitual: te piden aprobar un pago o firmar un documento por videollamada cuando normalmente esas cosas se hacen por correo o en persona.
El protocolo de verificación
No hace falta saber detectar un deepfake a simple vista para protegerte. Hace falta una norma sencilla, conocida por todo el equipo:
Ningún pago, cambio de datos bancarios o firma importante se confirma solo porque "lo has visto y oído" en una videollamada. Se verifica siempre por un segundo canal, iniciado por ti: llamas al número que ya tenías guardado, escribes al correo de siempre, o esperas un encuentro presencial o una confirmación por un medio distinto al que ha traído la petición.
Un truco sencillo y eficaz durante la propia llamada: pide a la persona que haga algo espontáneo e imprevisto, como girar la cabeza del todo de perfil, taparse parcialmente la cara con la mano o decir una palabra concreta que le propongas tú en ese momento. Los sistemas de deepfake en directo todavía fallan a menudo con estos movimientos no ensayados.
¿Y si ya ha pasado?
Si has hecho un pago y sospechas que te han engañado, llama enseguida a tu banco para intentar detener o revertir la transferencia; los primeros minutos son los que cuentan. Denúncialo a la Policía Nacional o a los Mossos d'Esquadra. Avisa a la empresa o persona real que han suplantado, porque probablemente están atacando a más clientes suyos. Y cuéntaselo abiertamente a tu equipo: como con cualquier estafa, el silencio solo ayuda a que se repita.
La IA no es el problema; la falta de verificación, sí
La misma tecnología que permite falsificar una cara en una videollamada es la que, bien aplicada, ahorra horas de trabajo cada semana a muchas pymes. El problema no es la IA en sí, sino dar por bueno algo solo porque "parece real" en la pantalla. Con una norma clara de verificación por segundo canal, esta estafa deja de funcionar, por muy bueno que sea el deepfake.
¿Quieres revisar con nosotros cómo proteger los pagos y las firmas de tu empresa ante este tipo de engaños?
Escríbenos a [email protected] y te ayudamos a montar un protocolo de verificación sencillo, adaptado a cómo trabaja tu equipo.
— El equipo de IAètica