En diciembre de 2025, el CFO de una empresa de logística española recibió una videollamada urgente. Al otro lado estaba su CEO, con su cara y su voz, pidiéndole una transferencia de 580.000€ a un nuevo proveedor. La operación era discreta, había que hacerla ya.
El CFO transfirió el dinero. El CEO nunca hizo esa llamada. Era un deepfake generado con inteligencia artificial.
Este caso, recogido por medios especializados en ciberseguridad, no es una excepción. Es el nuevo estándar del fraude empresarial en 2026. Y las PYMEs, que suelen tener menos filtros y procesos menos formales, son el objetivo perfecto.
Qué es un deepfake empresarial y por qué funciona
Un deepfake es un vídeo, imagen o audio generado por IA que replica a una persona real con una precisión casi indistinguible. Hasta hace dos años, hacer un deepfake convincente requería horas de grabación y equipos potentes. Hoy, con herramientas accesibles por menos de 30€ al mes, se puede clonar la voz de alguien con 30 segundos de audio y generar un vídeo con 2-3 minutos de imagen.
Los ciberdelincuentes están usando esta tecnología para una versión moderna del clásico fraude del CEO: suplantar a un directivo y pedir a un empleado —normalmente de finanzas— que haga un pago urgente.
Los fraudes con deepfakes han crecido un 484% en un año. El sector financiero registra pérdidas medias de 570.000 dólares por incidente. Las empresas fintech superan los 630.000.
Por qué las PYMEs son el objetivo perfecto
Las grandes empresas tienen departamentos de ciberseguridad, procesos de doble validación y equipos formados para detectar intentos de fraude. Las PYMEs, no. Y eso es exactamente lo que los atacantes buscan:
- Menos filtros: En una PYME el CFO muchas veces es el propio dueño, o una persona de confianza que gestiona las transferencias sin validación adicional.
- Procesos informales: Si el jefe dice "haz esto ya", se hace. No hay una política escrita que exija confirmación por otro canal.
- Menos formación: Muchos empleados no saben que un deepfake es posible hoy, así que no lo sospechan.
- Más exposición pública: El CEO de una PYME suele tener su voz y su cara en LinkedIn, Instagram, vídeos de webinars. Material suficiente para entrenar un modelo.
INCIBE ha hecho público un caso real en España donde unos atacantes usaron la técnica de deepvoice —clonación de voz con IA— para suplantar al CEO de una empresa y dar instrucciones de pago a un empleado. La llamada duró menos de dos minutos.
Cómo proteger a tu PYME sin gastar una fortuna
La buena noticia: no necesitas un departamento de ciberseguridad para blindar tu empresa contra el fraude con deepfakes. Necesitas tres cosas.
1. Un protocolo de doble verificación para pagos
Cualquier transferencia por encima de un umbral (por ejemplo, 5.000€) debe confirmarse por un segundo canal antes de ejecutarse. Si el CEO te llama por videollamada, tienes que llamarle tú de vuelta al número habitual. Si te pide pagar por WhatsApp, tienes que confirmarlo por email. Si insisten en que "no hay tiempo", es señal de alerta. Los estafadores juegan con la urgencia precisamente para evitar que verifiques.
2. Una palabra clave interna
Parece de película, pero funciona. El CEO y el CFO (o quien gestione pagos) acuerdan una palabra clave que solo ellos conocen. Si hay una petición extraña, el CFO pide la palabra. Si la voz del otro lado no la sabe, no es quien dice ser. Coste: cero euros. Eficacia: altísima.
3. Formación de 30 minutos al equipo
La mayoría de los empleados no sabe que un deepfake es posible. Una formación breve explicando qué es, cómo se usa y qué hacer ante una petición sospechosa reduce drásticamente el riesgo. Muéstrales ejemplos reales. Haz un simulacro. Eso vale más que cualquier software.
El 80% de los fraudes con deepfakes se evitan con un simple procedimiento de verificación por segundo canal. No es un problema tecnológico. Es un problema de proceso.
La paradoja: la IA es el problema, pero también la solución
Las mismas empresas que están siendo atacadas con IA pueden usar IA para defenderse. Ya existen herramientas accesibles para PYMEs que detectan deepfakes en tiempo real durante una videollamada, identifican voces clonadas analizando patrones de microentonación, y marcan emails sospechosos antes de que lleguen al CFO.
Pero antes de comprar software, empieza por lo básico. Un protocolo claro, una palabra clave y 30 minutos de formación cuestan nada y evitan la mayoría de los ataques. Después, si el volumen de pagos o el tamaño de tu empresa lo justifica, tiene sentido añadir tecnología.
Puedes empezar por entender cómo implementar IA en tu PYME paso a paso, o revisar lo que el Reglamento Europeo de IA exige a tu empresa. Porque la IA no es solo una herramienta de productividad: es también una superficie de ataque. Y los que la ignoran son los primeros en caer.
En 2024, el fraude del CEO era un email mal escrito desde una dirección rara. En 2026, es tu jefe en pantalla pidiéndote una transferencia. Y en 2027, será indistinguible de la realidad.
La pregunta no es si tu empresa será objetivo. Es cuándo. Y si para entonces tendrás los procesos que impidan que un empleado transfiera medio millón de euros a un impostor.
¿Quieres proteger a tu PYME del fraude con IA?
En IAtoca analizamos dónde tu empresa es vulnerable y diseñamos protocolos sencillos de verificación adaptados a tu tamaño. Auditoría gratuita, sin compromiso.
Solicitar auditoría gratuita