Imagen editorial impactante que muestra una cuadrícula de videoconferencia en la que la mayoría de las caras de los participantes se distorsionan sutilmente o se disuelven en artefactos digitales, mientras un rostro humano real observa: la premisa central del ataque a Arup, donde una única persona real estaba sentada entre identidades sintéticas.
Artificial IntelligenceCybersecurityDeepfakes

Un CFO deepfake robó $25 millones en una llamada de Zoom. Por qué tu empresa podría ser la siguiente.

Ashutosh SinghalAshutosh Singhal24 de abril de 202614 min

Estaba en una llamada con un cliente potencial —un CFO de una empresa manufacturera de tamaño medio— cuando dijo algo que me dejó helado.

"Ya verificamos la identidad en las videollamadas. Podemos vernos las caras."

Le pregunté si había oído lo que le pasó a Arup. No lo había oído. Así que se lo conté: en febrero de 2024, un empleado del área financiera de Arup —la firma global de ingeniería detrás de la Ópera de Sídney— se unió a una videoconferencia con su CFO y varios altos directivos. Hablaron de una transacción confidencial. El CFO le ordenó transferir fondos. Realizó 15 transferencias por un total de $25.6 millones a cinco cuentas bancarias. Todas las caras de esa llamada eran falsas. Todas las voces eran sintéticas. El CFO era un deepfake generado por IA. Los demás directivos también. El empleado era el único ser humano real en la sala.

La línea quedó en silencio unos diez segundos. Entonces dijo: "Eso no puede ser real".

Lo es. Y es la razón por la que he pasado el último tiempo replanteándome todo lo que construimos en Veriprajna: porque la brecha de Arup no solo dejó al descubierto una carencia de ciberseguridad. Dejó al descubierto un problema de arquitectura de confianza que la mayoría de las empresas ni siquiera ha empezado a afrontar.

La noche en que comprendí que "ver para creer" ha muerto

Leí por primera vez el análisis forense de la brecha de Arup ya entrada la noche, sentado en el despacho de mi casa con una taza de chai que se enfrió antes de que acabara la segunda página. Lo que me impactó no fue la cifra —aunque $25.6 millones son una barbaridad—: fue la elegancia del ataque. No hubo malware. Ni robo de credenciales. Ni acceso no autorizado a bases de datos. La infraestructura digital de Arup nunca llegó a ser vulnerada.

Los atacantes no hackearon el sistema. Hackearon al ser humano.

Cuando el rostro y la voz del CFO pueden falsificarse a la perfección, las señales tradicionales de confianza quedan rotas. No debilitadas: rotas.

Pasaron meses recopilando vídeos públicos de directivos de Arup en YouTube, charlas de conferencias y grabaciones corporativas. Entrenaron redes generativas antagónicas (Generative Adversarial Networks) —dos redes neuronales que compiten entre sí, una generando contenido falso y la otra intentando detectarlo, iterando millones de veces hasta que las falsificaciones son indistinguibles de la realidad— para crear lo que los expertos forenses llaman "gemelos sintéticos de alta fidelidad". No solo caras. Patrones del habla. Entonaciones. La forma en que alguien hace una pausa antes de responder a una pregunta.

Después enviaron un correo de spear phishing desde el "CFO" en el que pedía ayuda con una transacción confidencial. El empleado se mostró escéptico. Buen instinto. Pero los atacantes tenían una segunda jugada: lo invitaron a una videollamada en directo en la que varias caras conocidas confirmaron la petición en tiempo real.

Su escepticismo se disolvió. Cómo no iba a hacerlo. ¿Qué persona razonable duda del testimonio de sus propios ojos cuando cuatro colegas la miran desde la pantalla?

¿Cómo se hace un deepfake de una sala de juntas entera?

Un diagrama que explica el proceso del ataque de inyección de vídeo: cómo el vídeo sintético evita la detección al introducirse directamente en el flujo de datos del software de videoconferencia, en contraste con un ataque de presentación más sencillo.

Esta es la pregunta a la que mi equipo volvía una y otra vez. Habíamos visto deepfakes de una sola persona: una voz clonada aquí, un vídeo con la cara intercambiada allá. Pero ¿una videoconferencia en directo con varios participantes? Eso parecía un salto.

Resulta que las barreras técnicas se han derrumbado más rápido de lo que la mayoría de los equipos de seguridad cree.

Los atacantes utilizaron una técnica llamada inyección de vídeo en lugar de un "ataque de presentación" más sencillo (en el que alguien sostiene una pantalla delante de una cámara). Los ataques de inyección introducen vídeo sintético directamente en el flujo de datos del software de videoconferencia mediante software de cámara virtual. Zoom, Teams: la aplicación trata la señal generada por IA como si viniera de una cámara web física. No hay borde de pantalla que detectar ni anomalía de profundidad que señalar. Las investigaciones muestran que los ataques de inyección dirigidos a proveedores de verificación de identidad aumentaron un 255% en 2023, mientras que los ataques de intercambio de rostro subieron un 704%.

Recuerdo estar en una reunión de equipo en la que uno de nuestros ingenieros hizo una demostración de intercambio de rostro en tiempo real con herramientas de código abierto. Tardó unos cuarenta minutos en montarlo. El resultado no era perfecto —había un ligero parpadeo alrededor de la mandíbula—, pero ¿en una señal de Zoom comprimida? No lo notarías. Y eso con software gratuito y sin datos de entrenamiento. Los atacantes de Arup tuvieron meses de preparación y, presumiblemente, recursos.

Mi CTO me miró desde el otro lado de la mesa y dijo: "Tenemos que dejar de pensar en esto como un problema de ciberseguridad. Es un problema de epistemología. ¿Cómo sabe alguien qué es real?"

Tenía razón. Y esa constatación transformó mi forma de pensar sobre todo lo que construimos.

¿Por qué tu "estrategia de IA" empeora esto?

Esta es la parte que la mayoría de la cobertura de la brecha de Arup pasa por alto por completo: la forma en que la mayoría de las empresas ha adoptado la IA en realidad aumenta su vulnerabilidad ante este tipo de ataque.

Hablo del "wrapper de LLM": la arquitectura de IA empresarial dominante en este momento. Tomas una API pública de OpenAI o Anthropic, la envuelves en una fina capa de software, la conectas a algunos procesos de negocio y lo llamas tu estrategia de IA. Se despliega rápido. Es barato. Y es fundamentalmente insuficiente para cualquier cosa que importe.

Tres razones.

Primero, la salida de datos (data egress). En un despliegue basado en wrappers, tus datos más sensibles —hojas de cálculo financieras, memorandos internos, comunicaciones de la dirección— salen del perímetro corporativo para ser procesados por una nube de terceros. Aunque el proveedor prometa no entrenar con ellos, los datos existen en un entorno externo sujeto a la CLOUD Act estadounidense, a relaciones opacas con subencargados y a una posible exfiltración a través del modelo. Estás enviando exactamente el tipo de información que un atacante necesitaría para construir deepfakes convincentes de tus directivos fuera de tus muros.

Segundo, la brecha de fiabilidad. Los LLM son probabilísticos. Predicen la palabra siguiente más probable a partir de patrones estadísticos, no de una comprensión fundamentada de tu realidad corporativa. Cuando un agente de IA informa de un precio, aprueba un descuento o interpreta una política, está generando una respuesta plausible, no recuperando un hecho verificado. En entornos de alto riesgo, esa distancia entre "plausible" y "verdadero" es donde vive el fraude.

Tercero —y este me persigue—: el problema del "asesor incorpóreo". Para firmas de ingeniería como Arup, un wrapper de LLM basado en texto genera recomendaciones sin ningún bucle de retroalimentación integrado que verifique la seguridad física o biológica. En ingeniería estructural o en química, un cambio menor en un cálculo puede conducir a un resultado catastróficamente distinto. Un wrapper que opera sobre distancia semántica en lugar de sobre las leyes de la física no puede identificar esas desviaciones críticas. No sabe lo que no sabe.

Escribí sobre esta vulnerabilidad arquitectónica en profundidad en la versión interactiva de nuestra investigación: el argumento central es que los wrappers crean una ilusión de inteligencia mientras dejan a la organización estructuralmente expuesta.

¿Qué habría detenido realmente el ataque a Arup?

Un diagrama de la pila de defensa que muestra las tres capas complementarias de detección/verificación —detección fisiológica (análisis del latido cardíaco), biometría del comportamiento (patrones de pulsaciones de teclas y de ratón) y procedencia criptográfica (C2PA)— y cómo funcionan juntas como un sistema de verificación de identidad multicapa.

Esta es la pregunta que no dejaba de hacerme. No "qué debería haber hecho Arup de otra manera" —eso es hablar a toro pasado—. Sino: ¿qué arquitectura haría que este tipo de ataque fracasara?

La respuesta no es una sola tecnología. Es una pila. Y empieza por abandonar la idea de que la confirmación visual equivale a la verificación de identidad.

El latido que no se puede falsificar

Uno de los enfoques de detección más fascinantes con los que me he encontrado analiza lo que se denomina cambios "inducidos por el latido cardíaco" en el color facial. Tecnologías como FakeCatcher de Intel monitorizan microvariaciones en el tono de la piel —invisibles para el ojo humano— que se corresponden con la actividad cardiovascular. Un rostro humano vivo cambia sutilmente de color con cada latido. Un deepfake no. Y si lo hace, el ritmo está mal.

Cuando supe de esto por primera vez, me pareció ciencia ficción. Luego vi una demostración en la que el sistema identificó correctamente un deepfake de alta calidad que había engañado a todas las personas de la sala. El rostro sintético tenía una textura de piel perfecta, una sincronización labial perfecta, un movimiento ocular perfecto. Pero no tenía pulso.

Un deepfake puede replicar tu rostro, tu voz y tus gestos. No puede replicar tu latido.

Tu forma de teclear es tu firma

La biometría del comportamiento es la capa que más me entusiasma, porque es casi imposible de falsificar. Tu dinámica de pulsaciones —la velocidad, el ritmo y la presión al teclear— crea un patrón reconocible y único tuyo. También lo hacen los movimientos de tu ratón, la velocidad de tus deslizamientos en el móvil e incluso la forma en que navegas entre aplicaciones.

Imagina construir una línea base de comportamiento para cada alto directivo. Durante una videollamada, el sistema monitoriza continuamente si el "CFO" que escribe en el chat se comporta como el CFO real. Si la cadencia de tecleo se desvía del perfil histórico mientras se realiza una petición financiera inusual, el sistema lo señala automáticamente. Sin necesidad de juicio humano.

Así es la autenticación continua: no una contraseña de un solo uso al iniciar sesión, sino una verificación permanente e invisible de que la persona con la que hablas es quien dice ser.

Prueba criptográfica de que un vídeo es real

En lugar de intentar únicamente detectar las falsificaciones, tenemos que empezar a verificar la autenticidad en el origen. El estándar C2PA —Coalition for Content Provenance and Authenticity— incrusta metadatos criptográficos en el momento de la captura del vídeo: el dispositivo, la hora, la ubicación y una cadena de custodia a prueba de manipulaciones. Si una señal de vídeo en una llamada de Teams o Zoom carece de esas credenciales, debería tratarse con la misma sospecha que un paquete de software sin firmar.

Es un cambio de mentalidad. Llevamos años preguntando "¿esto es falso?". La mejor pregunta es: "¿puede esto demostrar que es real?".

La arquitectura que estamos construyendo de verdad

Un diagrama de arquitectura por capas que muestra el Sándwich Neuro-Simbólico: la pila de tres capas en la que capas deterministas de lógica simbólica envuelven el LLM neuronal, con flujos de datos etiquetados que muestran cómo se sanean las entradas y cómo se verifican las salidas contra bases de datos reales.

En Veriprajna, hemos llamado a nuestro enfoque Deep AI: no porque sea un término de marketing, sino porque describe una relación fundamentalmente distinta entre una organización y su infraestructura de IA. En lugar de "IA como servicio" a través de APIs públicas, construimos "IA como infraestructura" dentro del propio entorno seguro de la organización.

Tres pilares.

El primero es la propiedad de la infraestructura. Desplegamos pilas de inferencia completas —LLM privados de empresa— directamente en la nube privada virtual del cliente o en sus clústeres de Kubernetes on-premises. Los datos sensibles nunca salen del perímetro. No es solo una medida de seguridad: crea activos de modelo a medida que pertenecen al cliente. Su inteligencia sigue siendo soberana.

El segundo es lo que llamamos Private RAG 2.0: generación aumentada por recuperación integrada de forma nativa con la seguridad interna. Si un empleado no tiene permiso para ver un documento en SharePoint, la IA no lo recuperará para responder a su pregunta. Esto suena obvio, pero la mayoría de las implementaciones de RAG tratan la base de conocimiento como un pozo plano. La nuestra respeta los mismos controles de acceso que rigen el resto de la organización.

El tercero —y del que más orgulloso estoy— es el Sándwich Neuro-Simbólico. Envolvemos la red neuronal (el LLM, con sus capacidades creativas de lenguaje) entre dos capas de lógica simbólica determinista. La capa inferior sanea las entradas para evitar la inyección de prompts antes de que lleguen al modelo. La capa superior intercepta la salida del modelo y la ejecuta mediante funciones rígidas y predefinidas: consultar una base de datos SQL, comprobar un sistema ERP, recuperar un precio verificado. Cuando la IA informa de un número, está extrayendo un hecho, no prediciéndolo.

El Sándwich Neuro-Simbólico garantiza que, cuando la IA informa de un precio o de un estado de autorización, esté recuperando un valor determinista de una base de datos, no prediciéndolo a partir de la probabilidad de los tokens.

Hay quien me ha dicho que esto está sobredimensionado. "Usa GPT con buenos prompts y ya está", me dijo una vez un inversor, con la confianza de alguien que nunca ha sido responsable de una transferencia bancaria. Pienso en el empleado de Arup —un profesional competente que hizo todo lo que parecía razonable— y sé que unos prompts "suficientemente buenos" no son suficientemente buenos cuando lo que está en juego se mide en millones.

Para el desglose técnico completo de esta arquitectura, incluidos los patrones de diseño neuro-simbólico y la recuperación con RBAC, consulta nuestro informe de investigación detallado.

¿Qué ocurre cuando el CIO pasa a ser personalmente responsable?

Hay una dimensión legal en la brecha de Arup que la mayoría de los tecnólogos no está siguiendo, y debería aterrorizar a todos los CIO y CTO que lean esto.

Los tribunales aplican cada vez más la "regla del impostor" (Impostor Rule) al fraude en transferencias bancarias: las pérdidas debe asumirlas la parte que estaba en la mejor posición para haber evitado el fraude. En el caso de Arup, aunque el empleado fue engañado, el hecho de que la firma no implementara una verificación multicanal para transacciones de alto valor podría considerarse el punto de fallo principal.

Los CIO y los CTO son directivos corporativos con deberes fiduciarios. A medida que el fraude habilitado por deepfakes se convierte en un riesgo conocido y documentado —y después de Arup lo es de forma definitiva—, no implementar controles conscientes del deepfake podría acarrear responsabilidad personal si los accionistas demandan a la empresa por negligencia. Esto no es hipotético. La Ley de Privacidad del Consumidor de California, el Reglamento de IA de la UE y marcos como el AI Risk Management Framework del NIST convergen todos en la expectativa de que las organizaciones dispongan de defensas específicas y documentadas frente a los ataques con medios sintéticos.

He empezado a hacerles a los CIO una pregunta sencilla en cada reunión: "Si mañana un atacante hiciera un deepfake de tu CEO en una videollamada y alguien transfiriera $10 millones, ¿podrías demostrar ante un tribunal que tenías salvaguardas razonables?".

El silencio que sigue me lo dice todo.

¿No podemos simplemente enseñar a la gente a detectar deepfakes?

Me lo preguntan constantemente, y entiendo el instinto. Es la solución más barata. Basta con enseñar a todo el mundo en qué fijarse: la mandíbula que parpadea, la oreja rara, la iluminación un poco extraña.

El problema es este: la detección a ojo humano es una carrera armamentística que ya has perdido. Los artefactos que eran detectables en los deepfakes de 2023 están prácticamente ausentes en los de 2025. La tecnología mejora más rápido de lo que se adapta la percepción humana. Y en una videollamada comprimida, con iluminación mediocre y ancho de banda intermitente —que es como son la mayoría de las llamadas de Zoom corporativas—, incluso los deepfakes de la generación actual son funcionalmente invisibles.

La formación ayuda, pero no como la mayoría cree. El objetivo no es convertir a los empleados en detectores de deepfakes. Es construir lo que yo llamo una cultura de escepticismo empoderado: recompensar a quienes cuestionan peticiones sospechosas, incluso cuando esas peticiones parecen venir del CEO. El instinto inicial del empleado de Arup fue desconfiar del correo de phishing. Ese instinto era correcto. Quedó anulado por la prueba social de una videollamada con caras conocidas.

La solución es procedimental, no perceptiva. Las transacciones de alto valor exigen verificación fuera de banda: una llamada directa a un número de teléfono previamente verificado, un código de autenticación acordado de antemano y compartido por un canal distinto, o una doble autorización de alguien que no estuviera en la llamada original. La videoconferencia ya no puede ser el patrón oro para la autenticación de identidad en las transacciones financieras. Punto.

El plano de los $25 millones

Vuelvo una y otra vez a algo que me molesta de cómo se suele contar la historia de Arup. Se plantea como una advertencia: "mira lo sofisticados que se están volviendo los malos". Y es cierto, pero está incompleto.

La lección de fondo es arquitectónica. Los sistemas digitales de Arup estaban bien. Sus cortafuegos aguantaron. Su cifrado funcionó. El ataque tuvo éxito porque la arquitectura de confianza de la organización —el conjunto de supuestos sobre cómo se verifica la identidad y cómo se autorizan las decisiones— no había evolucionado para tener en cuenta un mundo en el que los medios sintéticos son baratos, convincentes y en tiempo real.

La mayoría de las organizaciones con las que hablo están en la misma situación. Han invertido mucho en la defensa del perímetro y han dejado la capa humana —la capa que realmente autoriza las transferencias, aprueba los contratos y firma las especificaciones de ingeniería— protegida por nada más que la suposición de que las caras y las voces son difíciles de falsificar.

Esa suposición murió en una sala de reuniones de Hong Kong en febrero de 2024. La pregunta es si tu organización actualizará su arquitectura de confianza antes o después de pagar su propia matrícula de $25 millones.

La brecha de Arup no fue un fallo de ciberseguridad. Fue un fallo de arquitectura de confianza, y la mayoría de las organizaciones no ha actualizado la suya desde la época en que las caras no se podían falsificar.

No estoy matizando esto. Las organizaciones que actúen ahora —desplegando infraestructura de IA soberana, implementando biometría del comportamiento, exigiendo procedencia criptográfica para las señales de vídeo e incorporando interruptores de circuito procedimentales en cada decisión de alto valor— definirán la próxima era de la seguridad empresarial. Las que esperen se convertirán en casos de estudio.

El coste de un deepfake capaz de engañar a tu equipo financiero tiende a cero. El coste de ser engañado, no.

Investigación relacionada

También publicado en

Construya su IA con confianza.

Colabore con un equipo que cuenta con amplia experiencia en la creación de la próxima generación de IA empresarial. Permítanos ayudarle a diseñar, construir e implementar una estrategia de IA en la que pueda confiar.

Veriprajna consultora de Deep Tech está especializada en la creación de sistemas de IA críticos para la seguridad en los sectores de salud, finanzas y ámbitos regulatorios. Nuestras arquitecturas se validan conforme a protocolos establecidos, con documentación de cumplimiento integral.