Durante años, los programas de sensibilización sobre ciberseguridad se han centrado en ayudar a los empleados a detectar correos electrónicos sospechosos. Ese era el enfoque adecuado; el correo electrónico ha sido durante mucho tiempo una de las vías más habituales por las que los atacantes consiguen acceder a los sistemas de las organizaciones. Se ha enseñado a los empleados a estar atentos a archivos adjuntos inesperados, solicitudes inusuales y mensajes que no les parezcan del todo correctos.
Pero los atacantes no se quedan de brazos cruzados.
La clonación de voces, los «deepfakes» y los ataques de suplantación de identidad basados en la inteligencia artificial suponen un nuevo reto para las organizaciones, ya que se centran en algo en lo que muchas personas confían instintivamente: una voz familiar.

La clonación de la voz ha dejado de ser cosa de ciencia ficción. Lo que antes se consideraba una tecnología emergente está ahora ampliamente disponible, resulta cada vez más convincente y es alarmantemente fácil de utilizar.
La preocupación no radica únicamente en que los atacantes puedan clonar voces, sino en que las personas tienden a confiar en ellas de forma natural. Cuando recibe un mensaje en su bandeja de entrada, es posible que se detenga a preguntarse si es auténtico, pero cuando alguien que suena como su jefe le llama y le pide ayuda, no siempre surge ese mismo escepticismo.
Por eso la clonación de voz se está convirtiendo en una herramienta tan poderosa para los ciberdelincuentes.
¿Por qué confiamos más en las voces que en los correos electrónicos?
Años de campañas de sensibilización han enseñado a las personas a cuestionar los mensajes inesperados y a reflexionar detenidamente antes de hacer clic en enlaces o compartir información. Aunque no sean conscientes de ello, muchos empleados han desarrollado hábitos que les ayudan a evaluar si un correo electrónico parece legítimo.
La comunicación vocal es diferente. Cuando oímos hablar a alguien, sobre todo a alguien a quien conocemos o reconocemos, nuestro instinto nos lleva a confiar en lo que oímos. Una voz familiar nos resulta personal, auténtica y mucho más difícil de falsificar. Por eso, la clonación de voz se ha convertido en una herramienta tan atractiva para los ciberdelincuentes.
Imagine que se encuentra en plena tarde ajetreada cuando suena su teléfono. Es su director financiero; o, al menos, la voz se parece exactamente a la suya.
Se disculpan por llamar de improviso y explican que están en una reunión. Necesitan que apruebe un pago antes de que termine el día o que les envíe cierta información para atender una solicitud urgente de un cliente. Todo en la conversación parece normal. La voz le resulta familiar, el tono es el adecuado y nada despierta sospechas de inmediato.
Solo que no son ellos.
La clonación de la voz está al alcance de todos
El aspecto más preocupante de la clonación de la voz es lo fácil que resulta ahora.
Hace unos años, crear una voz sintética convincente requería conocimientos especializados, tecnología costosa y mucho tiempo. Hoy en día, algunas herramientas de inteligencia artificial pueden generar un clon de voz realista a partir de tan solo tres segundos de audio. Esa grabación podría proceder de una intervención en un podcast, un vídeo de LinkedIn, un seminario web de una empresa, una presentación en una conferencia o incluso un breve fragmento compartido en las redes sociales. Muchos altos directivos ya disponen de suficiente material de audio de dominio público como para que los atacantes puedan crear una suplantación de identidad creíble.
Una vez clonada esa voz, puede utilizarse en llamadas telefónicas, mensajes de voz o notas de voz que parezcan proceder de un compañero de confianza o de un alto cargo. Un empleado que pondría inmediatamente en duda un correo electrónico sospechoso podría mostrarse mucho menos propenso a cuestionar una voz familiar que le pida que actúe con rapidez.
Esto es lo que convierte la clonación de voz en un riesgo empresarial tan importante. La tecnología ya no se limita a los autores de amenazas más sofisticados; se está convirtiendo en una capacidad al alcance de cualquiera que esté dispuesto a utilizarla.
A medida que las barreras de entrada siguen reduciéndose, las organizaciones deben partir de la base de que la suplantación de identidad por voz se convertirá en un elemento cada vez más habitual del panorama de amenazas.
Por qué la clonación de voz resulta más eficaz cuando se combina con otros ataques
La clonación de voz no está sustituyendo a las técnicas tradicionales de ingeniería social, sino que las refuerza.
Los ataques más exitosos no se basan en una única interacción. Por el contrario, los atacantes se ganan la confianza de sus víctimas a través de múltiples canales antes de pedirles que realicen alguna acción.
Un empleado podría recibir un correo electrónico que parezca proceder de un proveedor. Más tarde ese mismo día, recibe un mensaje de Teams que reitera la misma solicitud y, a continuación, recibe una llamada telefónica de alguien que parece ser un alto cargo y que confirma que la solicitud es legítima.
Cada interacción hace que la siguiente resulte más creíble. Para cuando se le pide al empleado que transfiera fondos, autorice el acceso o facilite información, la solicitud le resulta familiar y le inspira confianza.
La inteligencia artificial está facilitando la creación de estos ataques y haciendo que su ampliación resulte mucho más sencilla. Los atacantes pueden generar correos electrónicos convincentes, mensajes personalizados y llamadas de voz clonadas en una fracción del tiempo que les habría llevado en el pasado.
El resultado es una forma mucho más sofisticada de ingeniería social para la que muchas organizaciones no están preparadas.
La brecha de concienciación que deben abordar las organizaciones
Muchos programas de sensibilización en materia de seguridad siguen centrándose en gran medida en las amenazas que llegan a través del correo electrónico. Se forma a los empleados para que revisen los enlaces, reconozcan los correos electrónicos de phishing y denuncien los mensajes sospechosos. Si bien esas habilidades son importantes, no preparan plenamente a las personas para los ataques que se producen a través de llamadas telefónicas, notas de voz, plataformas de colaboración o una combinación de los tres.
El reto no consiste en enseñar a los empleados cómo funciona la tecnología de clonación de voz mediante IA, sino en enseñarles cómo deben actuar cuando una solicitud parezca auténtica.
Cuando una voz conocida solicita una actuación urgente, es necesario que las personas tengan la seguridad necesaria para tomarse su tiempo, verificar la solicitud y seguir los procedimientos establecidos. Ese comportamiento es mucho más importante que comprender los detalles técnicos que subyacen al ataque.
A medida que las tácticas de ingeniería social se vuelven cada vez más sofisticadas, la formación en materia de sensibilización debe reflejar la realidad a la que se enfrentan los empleados.
Por qué la formación basada en historias marca la diferencia
Uno de los mayores retos que plantean las amenazas emergentes, como la clonación de voz, es que pueden parecer algo abstracto hasta que las personas las experimentan en su contexto.
La mayoría de los empleados saben que existen los «deepfakes» y las voces generadas por IA, pero eso no significa automáticamente que vayan a reconocer un intento de suplantación de identidad cuando se produzca.
Las personas no aprenden a reaccionar ante la presión leyendo un documento normativo; aprenden observando cómo se desarrollan situaciones reales y comprendiendo cómo los atacantes se aprovechan de la confianza.
Por eso, la formación en sensibilización basada en historias está cobrando cada vez más importancia.
«Cyber Police» es la serie de sensibilización cibernética con actores reales de MetaCompliance, diseñada para dar vida a amenazas cibernéticas reales, como la clonación de voz, a través de la narración de historias. Mediante personajes realistas, situaciones laborales y ataques dramatizados, muestra a los empleados cómo se desarrollan las amenazas cibernéticas actuales, cómo se manipula la confianza y cómo situaciones aparentemente cotidianas pueden derivar rápidamente en incidentes graves.
Al observar cómo se desarrollan los ataques desde la perspectiva de las personas implicadas, los empleados adquieren una comprensión mucho más profunda de cómo reconocer comportamientos sospechosos y responder de manera eficaz.
Crear una cultura de la verificación
A medida que la clonación de la voz se va generalizando, las organizaciones deben replantearse cómo se genera la confianza.
Nunca se debe esperar que los empleados determinen si una voz es real o ha sido generada por inteligencia artificial con solo escucharla. La tecnología es demasiado convincente como para que eso constituya una defensa fiable.
Por el contrario, las organizaciones necesitan contar con procesos de verificación claros para las solicitudes relacionadas con pagos, información confidencial, credenciales o acceso a los sistemas.
- Si una solicitud resulta inusual, compruébela.
- Si una solicitud requiere una respuesta urgente, compruébela.
- Si una solicitud tiene que ver con dinero o datos confidenciales, compruébela.
Lo más importante es que los empleados se sientan cómodos al hacerlo. Una cultura de seguridad sólida anima a las personas a cuestionar las peticiones cuando sea necesario, incluso si parecen proceder de altos cargos.
Esa breve pausa para verificar la información puede evitar un error que le salga caro.
El futuro de la ingeniería social ya está aquí
La clonación de voz suele considerarse una amenaza futura, pero las organizaciones deben prepararse para ella ya. La tecnología es cada vez más accesible, la calidad mejora rápidamente y resulta cada vez más difícil de detectar. De hecho, McAfee ha constatado que el 70 % de las personas no se muestra seguro de poder distinguir entre una voz clonada y una real, lo que pone de manifiesto hasta qué punto estos ataques se han vuelto creíbles.
Las organizaciones que respondan de manera eficaz serán aquellas que fomenten una cultura en la que la verificación sea una práctica habitual, en la que los empleados se sientan con confianza para cuestionar las solicitudes inusuales y en la que la formación en materia de concienciación refleje las amenazas a las que es más probable que se enfrenten las personas.
Cuando escuchar una voz conocida ya no es prueba suficiente de identidad, la confianza hay que ganársela, no darla por sentada.
Obtenga más información sobre la Policía Cibernética
«Cyber Police» utiliza el formato dramático para dar vida a amenazas cibernéticas reales, lo que fomenta el diálogo y cuestiona las ideas preconcebidas. Cada temporada aborda las amenazas a las que los empleados se enfrentan con mayor probabilidad, desde el phishing y el ransomware hasta los deepfakes, y las reinterpreta en forma de episodios apasionantes. Al ver las amenazas desde la perspectiva de quienes se ven afectados, los empleados adquieren una mayor conciencia y la confianza necesaria para responder de forma eficaz.
Obtenga más información sobre Cyber Police y descubra cómo la formación en concienciación basada en historias ayuda a los empleados a reconocer las amenazas cibernéticas actuales, a cuestionar los comportamientos sospechosos y a actuar con seguridad en situaciones reales.