Deepfakes de voz: qué saber

La digitalización de los servicios financieros ha facilitado muchas gestiones cotidianas, pero también ha dado lugar a nuevas formas de fraude. Entre ellas, los deepfakes de voz están ganando relevancia por su capacidad para imitar la voz de una persona con un alto grado de realismo.

En el uso cotidiano de servicios bancarios, esta tecnología puede aparecer en llamadas telefónicas, mensajes de voz o comunicaciones aparentemente legítimas. Por ello, conocer cómo funcionan estos engaños ayuda a interpretar con más cautela determinadas solicitudes inesperadas.

Un deepfake de voz es un audio generado o manipulado mediante inteligencia artificial para imitar la forma de hablar, el tono o la entonación de una persona. Europol señala que los deepfakes son contenidos sintéticos que pueden utilizarse de forma indebida en delitos como la suplantación, el fraude o la manipulación de pruebas digitales.

En el caso de la voz, los delincuentes pueden utilizar fragmentos de audio disponibles en redes sociales, vídeos, llamadas grabadas u otros canales para crear una imitación. El riesgo no está únicamente en la tecnología, sino en el uso fraudulento que puede hacerse de ella para generar confianza.

Los deepfakes de voz pueden formar parte de intentos de suplantación de identidad. En muchos casos, no buscan atacar directamente los sistemas de una entidad, sino influir en el comportamiento de una persona para que facilite información, confirme una operación o actúe con urgencia.

Este tipo de fraude puede combinarse con técnicas ya conocidas, como el vishing, que consiste en llamadas fraudulentas en las que el atacante se hace pasar por una entidad o persona de confianza. El Banco de España incluye el vishing entre los fraudes habituales en operaciones bancarias y recomienda prestar atención a las comunicaciones que solicitan datos sensibles o generan presión para actuar rápidamente.

En este contexto, una voz clonada puede utilizarse para hacer más creíble una llamada. Por ejemplo, podría simularse la voz de una persona conocida o de alguien que dice actuar en nombre de una organización. La combinación de una voz familiar, una situación urgente y una petición inusual debe activar la cautela.

Las personas tienden a confiar en una voz conocida, especialmente si la comunicación se produce en un momento de tensión o preocupación. Esta reacción es precisamente la que aprovechan muchos fraudes de ingeniería social.
INCIBE (Instituto Nacional de Ciberseguridad de España) explica que la suplantación de identidad se produce cuando alguien finge ser otra persona con el propósito de engañar, obtener información o cometer acciones fraudulentas. También señala que técnicas como el phishing, el smishing o el vishing pueden utilizarse para conseguir contraseñas, datos de acceso o información confidencial.

Además, estos intentos pueden apoyarse en información real obtenida previamente, como nombres, teléfonos, cargos profesionales o datos publicados en Internet. Una llamada fraudulenta puede parecer más fiable si combina una voz convincente con información aparentemente correcta.

Aunque no siempre es fácil identificar un deepfake de voz, existen algunas señales que pueden invitar a detenerse y comprobar la comunicación por otra vía:

• Urgencia excesiva: se solicita actuar de inmediato, sin tiempo para pensar.
• Petición de datos sensibles: se piden claves, códigos de seguridad, contraseñas o información personal.
• Presión emocional: se utiliza miedo, preocupación o autoridad para acelerar la respuesta.
• Solicitud poco habitual: la petición no encaja con la relación normal con la entidad o con la persona que supuestamente llama.
• Dificultad para verificar: quien llama evita que se contraste la información por un canal oficial.

Estas señales no prueban por sí solas que exista un deepfake, pero sí indican que conviene extremar la prudencia antes de continuar.

Ante una llamada relacionada con datos bancarios, accesos, operaciones o códigos de seguridad, lo más prudente es mantener la calma y no actuar de forma inmediata. El Banco de España recuerda que el sentido común es una herramienta esencial frente al fraude, especialmente ante métodos que buscan engañar al usuario.

En la práctica, esto implica no facilitar claves, contraseñas, códigos de un solo uso ni información sensible durante una llamada no solicitada. También conviene finalizar la conversación y contactar con la entidad a través de canales oficiales, utilizando números o vías ya conocidos, no los proporcionados durante la llamada sospechosa.

En el entorno familiar o profesional, puede ser útil acordar mecanismos sencillos de verificación ante situaciones urgentes. Comprobar una solicitud por un segundo canal reduce el riesgo de tomar decisiones basadas únicamente en una voz aparentemente familiar.

Los deepfakes de voz representan una evolución de los fraudes de suplantación. Su capacidad para imitar voces conocidas puede hacer que una llamada parezca fiable, sobre todo si se combina con urgencia, datos reales o una petición aparentemente razonable.

Entender cómo funcionan estos fraudes ayuda a actuar con más calma ante comunicaciones inesperadas relacionadas con servicios bancarios. Verificar por canales oficiales, no compartir códigos ni contraseñas y desconfiar de la presión para actuar rápido son hábitos básicos para reducir el riesgo.