← Volver al blog
ciberseguridadiaestafas

Deepfake del CEO: la estafa de $25 millones que arrasó en 2026 (y por qué tu negocio puede ser el siguiente)

Francisco Deza·

El caso real que despertó al mundo empresarial

A inicios de 2026, una empleada de finanzas en Hong Kong recibió un correo del supuesto director financiero de su empresa pidiéndole una transferencia urgente y confidencial. Ella sospechó. Era un monto muy alto.

Para confirmar, pidió una videollamada. En la reunión apareció el director financiero, otros ejecutivos que conocía y hasta su CEO. Todos confirmaron la orden.

Ella transfirió 25 millones de dólares en 15 movimientos a cinco cuentas distintas.

Días después descubrió la verdad: ninguno de los rostros y voces en la videollamada eran reales. Todos fueron generados con deepfake en tiempo real, usando videos públicos de los ejecutivos disponibles en LinkedIn y YouTube.

Por qué esto debería preocupar a tu negocio

Quizás piensas: "yo no manejo millones, esto no me afecta". Te equivocas.

Los atacantes están adaptando esta técnica a estafas más pequeñas pero masivas. Ya no necesitan engañar a un banco, basta con engañar a la asistente del gerente de una empresa mediana.

Las estafas con deepfake en LATAM ya están llegando con cifras menores pero igual de dañinas:

  • Transferencias de 50,000 a 200,000 soles haciéndose pasar por el dueño
  • Cambios de cuenta bancaria a proveedores reales
  • Solicitudes de información confidencial a empleados nuevos
  • Compras urgentes de gift cards o pagos por crypto

Cómo funciona el ataque paso a paso

1. Reconocimiento de la víctima

El atacante investiga tu negocio en LinkedIn, Instagram, Facebook y la web de tu empresa. Identifica al dueño, a los gerentes y a quién maneja el dinero.

2. Recolección de material audiovisual

Descarga videos del CEO en YouTube, entrevistas, charlas, reels de Instagram. Bastan 2 minutos de video para entrenar un modelo de deepfake decente.

3. Preparación del entorno

Configura el software de deepfake en tiempo real (existen versiones gratuitas y de pago). Prepara una identidad de correo o WhatsApp clonado.

4. El ataque

Llama a la videollamada con la víctima. Usa fondo borroso o virtual para esconder detalles. Habla poco. Da la orden con autoridad y prisa.

5. La transferencia

La víctima, viendo y escuchando a su jefe, ejecuta la orden sin verificar por otro canal.

5 medidas para proteger tu negocio HOY

1. Implementa un protocolo de verificación por segundo canal

Toda transferencia mayor a un monto definido (por ejemplo 5,000 soles) debe ser confirmada por un canal distinto al original. Si la orden llegó por WhatsApp, confirma por llamada telefónica al número personal del dueño. Si llegó por correo, confirma en persona o por WhatsApp.

2. Usa una palabra clave secreta para órdenes financieras

Define con tu equipo de finanzas una palabra clave que solo tú y ellos conocen. Toda orden financiera debe incluir esa palabra. Si no la incluye, no se ejecuta.

3. Limita la información pública de tus ejecutivos

Revisa los videos y audios de ti y tus gerentes que están en redes sociales. Mientras menos material público haya, más difícil será clonar voces y rostros.

4. Capacita a tu equipo en señales de deepfake

Las señales más comunes son: poco parpadeo, sincronización labial extraña, voz con tono plano, fondo virtual borroso, persona que evita girar la cabeza o mostrar el perfil completo.

5. Implementa autenticación reforzada en sistemas críticos

Activa autenticación en dos pasos en banca, correo corporativo y sistemas de pago. Idealmente con app de autenticación o llave física, no SMS.

Preguntas frecuentes

¿Cuánto cuesta hacer un deepfake?

Las herramientas básicas son gratuitas. Las profesionales cuestan entre 30 y 200 dólares al mes. Hacer un deepfake de calidad para una estafa requiere conocimiento técnico medio.

¿Mi empresa es muy pequeña para ser blanco?

No. Los atacantes prefieren empresas medianas y pequeñas porque tienen menos controles y menos personal de TI. Un deepfake para robar 50,000 soles es igual de rentable que uno para robar millones.

¿Cómo sé si una videollamada es real?

Pide a la persona que gire la cabeza completamente a un lado y al otro, que se ponga la mano frente al rostro, o que mueva un objeto cerca de su cara. Los deepfake en tiempo real fallan en estas pruebas.

¿Qué hago si caí en una estafa de este tipo?

Notifica a tu banco de inmediato para intentar bloquear la transferencia. Denuncia ante la DIVINDAT (Perú) o el organismo equivalente en tu país. Guarda toda la evidencia (correos, videos, capturas).

Conclusión

El deepfake ya no es ciencia ficción ni un problema de Hollywood. En 2026 es una herramienta accesible que los atacantes están usando contra negocios de todos los tamaños en LATAM.

La buena noticia es que la mayoría de estos ataques fallan cuando existen protocolos básicos de verificación. No necesitas tecnología cara, necesitas reglas claras y un equipo capacitado.

En FDev ayudamos a empresas y emprendedores a implementar protocolos de ciberseguridad práctica para el día a día. Si quieres evaluar la exposición de tu negocio, puedes hacer un escaneo gratis en CyberShield.

Compartir este artículo

💼 LinkedIn💬 WhatsApp𝕏 Post📘 Facebook

¿Tu empresa está protegida?

Escanea tu dominio gratis en 30 segundos

🔍 Escanear gratis

También te puede interesar

7 cosas que NUNCA debes pegar en ChatGPT si tienes un negocio

7 cosas que NUNCA debes pegar en ChatGPT si tienes un negocio

5 min de lectura

Phishing SUNAT 2026: el correo que vacía tu cuenta empresarial en 5 minutos

Phishing SUNAT 2026: el correo que vacía tu cuenta empresarial en 5 minutos

7 min de lectura

WhatsApp clonado: la estafa que arrasa en Perú, México y Colombia (3 señales para detectarla)

WhatsApp clonado: la estafa que arrasa en Perú, México y Colombia (3 señales para detectarla)

6 min de lectura