Deepfakes y fraude: un nuevo reto para la integridad corporativa

En abril 2026, la organización AFC-Anti-Fraud Collaboration ha publicado el documento Fraud and Emerging Tech: Deepfakes (AFC, abril 2026), donde se pone de manifiesto la creciente amenaza de esta tipología de fraude.

La rápida evolución de la inteligencia artificial generativa está transformando de manera profunda la manera en que las organizaciones operan, se comunican y toman decisiones. Junto con sus múltiples beneficios, esta tecnología también está dando lugar a nuevas amenazas. Entre ellas, los deepfakes destacan como uno de los riesgos emergentes más relevantes en el ámbito del fraude y la confianza empresarial.

El uso malicioso de deepfakes —contenidos sintéticos creados mediante inteligencia artificial con la intención de engañar— está incrementando la sofisticación, la escala y el impacto potencial de los esquemas de fraude, afectando tanto a las operaciones financieras como a la reputación de las organizaciones. Ante este escenario, resulta crítico que empresas, consejeros, directivos, auditores y otros actores del ecosistema financiero comprendan el riesgo y adopten medidas eficaces de mitigación.

¿Qué son los deepfakes y por qué suponen un riesgo?

Los deepfakes son contenidos falsos —texto, imágenes, audio o vídeo— generados o manipulados mediante técnicas avanzadas de inteligencia artificial con el objetivo de engañar o inducir a error. Aunque el uso de herramientas de IA no es en sí negativo, los deepfakes se distinguen precisamente por su finalidad fraudulenta o engañosa.

La generalización de herramientas de IA generativa ha reducido drásticamente las barreras técnicas necesarias para crear este tipo de contenidos. En la práctica, un atacante puede generar correos electrónicos que imitan el estilo de un directivo, audios que reproducen su voz con gran precisión o vídeos aparentemente reales donde una persona parece dar instrucciones que, en realidad, nunca existieron.

Existen distintos tipos de deepfakes, cada uno con riesgos específicos:

• Texto: correos electrónicos, mensajes o documentos falsos diseñados para parecer auténticos.
• Imagen: fotografías manipuladas o completamente fabricadas.
• Vídeo: grabaciones falsas que simulan personas reales hablando o actuando.
• Audio: imitaciones de voz utilizadas en llamadas telefónicas o mensajes de voz.

Especial mención merece el auge de los deeplive o deepfakes en tiempo real, capaces de alterar la apariencia y la voz de una persona durante una videollamada, lo que incrementa notablemente la dificultad para detectar del engaño.

Deepfakes como herramienta para cometer fraude

Aunque el fraude corporativo no es un fenómeno nuevo, los deepfakes multiplican su efectividad al dotar a los atacantes de una apariencia de legitimidad sin precedentes. Entre las principales tipologías de fraude vinculadas a deepfakes destacan:

1. Fraude en transacciones financieras

Audios o vídeos falsos pueden suplantar a altos directivos para autorizar transferencias urgentes a cuentas controladas por terceros. Del mismo modo, documentos falsificados —como facturas, contratos u órdenes de pago— pueden respaldar operaciones fraudulentas con apariencia de normalidad.

Los casos reales ya documentados muestran pérdidas multimillonarias derivadas de videollamadas en las que empleados creyeron estar interactuando con sus superiores cuando, en realidad, eran víctimas de un engaño sofisticado.

2. Falsificación de evidencias para reclamaciones

Imágenes y documentos manipulados pueden utilizarse para respaldar reclamaciones indebidas, como seguros, reembolsos o garantías, generando salidas de fondos injustificadas para la organización.

3. Fraude de identidad sintética

Los deepfakes pueden apoyar esquemas de identidad sintética, combinando datos reales con información falsa para crear identidades creíbles que burlen los controles tradicionales, especialmente en entidades financieras.

4. Fraude interno y manipulación de información financiera

Más allá de ataques externos, también existe el riesgo de uso interno de deepfakes. Empleados o directivos podrían generar documentación falsa para desviar fondos o para justificar reconocimientos indebidos de ingresos, afectando directamente a la fiabilidad de la información financiera.

Más allá del impacto económico: riesgos reputacionales y estratégicos

El impacto de los deepfakes no se limita a las pérdidas financieras. También representan una amenaza significativa para la reputación corporativa y la confianza de los stakeholders.

Vídeos o audios falsos pueden difundirse para dañar la imagen de una empresa, manipular el precio de sus acciones o sembrar desconfianza entre clientes, inversores y empleados. Incluso cuando no se traduce en un perjuicio económico inmediato, la pérdida de credibilidad puede tener consecuencias duraderas.

A este fenómeno se suma el denominado dividendo del mentiroso: a medida que los deepfakes se vuelven más comunes, incluso las evidencias auténticas pueden ser cuestionadas. Las organizaciones pueden encontrarse en la difícil posición de no poder demostrar su inocencia de forma convincente, aun disponiendo de pruebas reales.

Mitigar el riesgo: una responsabilidad compartida

Frente a esta amenaza creciente, la mitigación del riesgo no recae en un único actor. Requiere un enfoque coordinado en el que participen todos los niveles de la organización y del ecosistema de información financiera.

El papel de los consejos de administración

Los consejos deben impulsar una cultura de confianza y preparación. Esto implica:

• Supervisar indicadores de confianza interna y externa.
• Planificar y ensayar protocolos de respuesta ante incidentes de deepfakes.
• Involucrar a asesores legales y especialistas forensic en los planes de crisis.

La rapidez y coherencia en la respuesta puede ser determinante para limitar el impacto de un ataque.

Responsabilidades del equipo directivo

La dirección tiene un papel clave en la prevención:

• Fomentar la concienciación y formación de toda la plantilla.
• Definir claramente qué comportamientos y solicitudes son “normales” y cuáles deben generar sospecha.
• Reforzar la idea de que las excepciones a los controles estándar deben verificarse siempre por canales independientes.

Crear un entorno donde los empleados se sientan respaldados al cuestionar instrucciones inusuales es una de las defensas más eficaces.

Función de la auditoría interna

Los equipos de auditoría interna pueden contribuir significativamente mediante:

• Evaluaciones de riesgo específicas sobre vulnerabilidades frente a deepfakes.
• Refuerzo de controles internos, especialmente en procesos de pagos, proveedores y altas de clientes.
• Recomendaciones sobre autenticación multifactorial y, cuando proceda, biometría.

Implicaciones para la auditoría externa

Desde la perspectiva de la auditoría financiera, los deepfakes introducen nuevas oportunidades para la manipulación de activos y de la información financiera. Los auditores deben considerar estos riesgos en su evaluación de fraude y, cuando se haya producido un incidente, valorar la necesidad de involucrar especialistas forensic para evaluar su impacto en los estados financieros.

La importancia del juicio profesional y el escepticismo

Aunque están surgiendo herramientas tecnológicas para detectar deepfakes, su eficacia aún es desigual. Por ello, el juicio humano sigue siendo esencial.

En este contexto, marcos como el SIFT (Stop/Investigate/Find/Trace - desarrollado por Mike Caulfied) resultan útiles para evaluar la credibilidad del contenido:

1. Detenerse antes de actuar.
2. Investigar la fuente del mensaje.
3. Buscar confirmación por canales alternativos.
4. Rastrear el origen del contenido y su contexto.

Promover el escepticismo profesional y la verificación sistemática es, hoy por hoy, una de las mejores defensas disponibles.

Conclusión

Los deepfakes ilustran cómo la tecnología está redefiniendo el panorama del fraude, aumentando su velocidad, alcance y sofisticación. En este entorno dinámico, las organizaciones no pueden confiar únicamente en controles tradicionales. Deben mantenerse informadas, reforzar su cultura de integridad y adaptar continuamente sus estrategias de prevención y respuesta.

La lucha contra el fraude basado en tecnologías emergentes exige vigilancia constante, colaboración entre funciones y un firme compromiso con la confianza y la ética empresarial.