El informe introduce el concepto “Deepfake Maturity Spectrum”, que describe tres fases: generación offline con contenido pregrabado, generación en tiempo real y generación autónoma, donde agentes de IA gestionan múltiples conversaciones en paralelo. Este nivel de sofisticación ya permite suplantar a directivos en videollamadas, falsificar entrevistas de trabajo o engañar a responsables financieros sin intervención humana directa.
El impacto económico es ya evidente. En dos casos recientes en Reino Unido y Canadá, las pérdidas por fraudes basados en vídeos generados por IA superaron los 35 millones de dólares. Las voces sintéticas se utilizan para extorsión, falsas situaciones de rehenes o incluso para imitar a altos cargos, como ocurrió en Italia con una llamada que suplantó al ministro de Defensa. Herramientas de clonación de voz y manipulación facial están disponibles en mercados clandestinos a precios asequibles, democratizando el acceso a esta tecnología para atacantes sin grandes conocimientos técnicos.
La automatización ha transformado el panorama. Plataformas como ElevenLabs clonan una voz con menos de 10 minutos de audio, mientras que plugins de cambio de rostro en videollamadas cuestan apenas unos cientos de dólares. Incluso paquetes completos de phishing impulsados por IA, como GoMailPro, se venden en la dark web por 500 dólares mensuales, incluyendo soporte con ChatGPT. Los llamados “Business Invoice Swappers” escanean bandejas de entrada y alteran facturas para desviar fondos, reduciendo al mínimo la intervención humana y aumentando la escala de los ataques.
El FBI ya advierte que las imágenes, vídeos y voces generadas por IA erosionan las formas tradicionales de verificación. “La frontera entre la realidad digital y la ficción ha desaparecido”, ha afirmado Eusebio Nieva, director técnico de Check Point Software para España y Portugal. La compañía subraya la necesidad de un enfoque Zero Trust y de herramientas capaces de detectar y bloquear contenidos manipulados por IA, aislar comportamientos anómalos y neutralizar malware camuflado en archivos deepfake.
En un escenario donde engañar en tiempo real es técnicamente posible, los deepfakes han dejado de ser una curiosidad digital para convertirse en un riesgo operativo global.