Imagínese la situación. En un mensajero llega un mensaje de voz del hijo pidiendo transferir dinero con urgencia. Un minuto después llega un vídeo en el que la hija está sentada en el coche y dice que tiene problemas. La primera reacción de muchas personas es la misma: actuar deprisa. En eso se basa el ataque: los estafadores copian la voz y a veces el rostro, y luego presionan con la rapidez y el secretismo.
El problema es que la "comprobación al oído" ya no funciona. Un fragmento corto de voz tomado de stories, una entrevista o mensajes de voz en un chat basta para crear una imitación convincente. Después entra en juego la ingeniería social, le cuentan una historia, marcan el ritmo y le empujan a realizar un pago, dar un código o instalar una aplicación "de ayuda".
A continuación analizaremos cómo funcionan estos esquemas, qué comprobaciones rápidas resultan realmente útiles, qué ajustes activar en los mensajeros más populares y cómo acordar con la familia con antelación para que el caso de un "clon digital" termine en una llamada incómoda y no en una transferencia de dinero.
Cómo funcionan los esquemas de suplantación de voz y vídeo
El guion casi siempre empieza con captar la atención. Le escriben por el canal habitual, en el chat familiar o en un mensaje privado, a veces desde una cuenta que parece la real. Los estafadores suelen usar cuentas comprometidas o simplemente crean un "doble" con un nombre y avatar parecidos.
A continuación viene la suplantación de voz. Puede ser un mensaje de voz, una llamada por el mensajero o una grabación "desde el hospital". Los reguladores financieros señalan expresamente esquemas familiares en los que los atacantes imitan a un pariente para acelerar una transferencia o obtener datos.
Un deepfake de vídeo se ve menos, pero el efecto es mayor. Normalmente es un clip corto en el que la persona dice una o dos frases y luego "se corta la comunicación". Un diálogo largo es peligroso para el estafador, porque aumenta la probabilidad de que haga una pregunta inesperada y el modelo empiece a fallar.
El tercer nivel es la leyenda. "Accidente", "policía", "billete urgente", "perdí el teléfono", "no puedo hablar". Casi siempre hay una prohibición de comprobar. "No llames a mamá", "no escribas en el chat general", "te lo explico luego". Esto es un marcador clave, porque la gente real suele estar dispuesta a que se la verifique.
Qué intentan obtener exactamente
- transferencia de dinero o criptomoneda
- código de confirmación por SMS, incluido para tomar el control de una cuenta
- acceso a la aplicación del banco mediante "ayuda" o demostración de pantalla
- datos que permitan responder preguntas de seguridad
Señales de suplantación y comprobaciones rápidas
Los deepfakes no tienen un único "artefacto" universal. Los modelos modernos pueden sonar muy naturales. Por eso hay que fijarse no en la calidad de la grabación, sino en la lógica de la situación y en controlar el canal.
La comprobación más fiable es cambiar el canal de comunicación. Si el mensaje llegó por un mensajero, llame al número habitual guardado en los contactos. No conteste a la llamada entrante; marque usted mismo. Esta táctica la recomiendan los reguladores de consumo, que describen las "falsas emergencias familiares".
La segunda comprobación es una "frase de control". Debe acordarse con antelación en la familia y no aparecer en redes sociales. Una pregunta como "¿cómo se llama nuestro gato?" es mala porque se puede encontrar en mensajes o álbumes de fotos. Mejor un código corto que no tenga relación con hechos reales, por ejemplo una palabra inventada o un par de dígitos.
La tercera comprobación consiste en pedir detalles imposibles de adivinar. Pregunte desde dónde llaman, quién está cerca, qué sala, cuál es el apellido del médico. El estafador evitará la concreción o exigirá rapidez. Cualquier intento de presionar con el tiempo debe activar su "alto" interno.
Finalmente, tenga presente una regla simple. "Urgente y secreto" casi siempre significa "verifique". Para los ataques con voz y llamadas, las fuerzas de seguridad publican recomendaciones periódicas, entre ellas el consejo de no confiar en un mensaje solo porque suene convincente.
Mini lista de verificación de 60 segundos
- Deténgase y no responda "por inercia"
- Cambie de canal y llame al número guardado
- Pida la frase de control
- Formule 2-3 preguntas aclaratorias inesperadas
- Si piden dinero o un código, considérelo un ataque hasta que se demuestre lo contrario
Protocolo familiar que frustra la mayoría de los ataques
La tecnología cambia, pero la protección de la familia empieza con acuerdos, no con ajustes. Los estafadores ganan donde los allegados no tienen un plan común. Esto es especialmente importante para padres y personas mayores, porque la presión "con la voz del hijo" afecta las emociones y anula las comprobaciones racionales.
Hagan un protocolo sencillo de tres normas. Primero: no se envían dinero ni códigos por mensajero. Segundo: cualquier petición "urgente" se confirma con una llamada al número guardado. Tercero: ante la duda, se incorpora un segundo miembro de la familia, por ejemplo mediante el chat común o una llamada en conferencia.
Aparte, acuerden una frase de control. Debe ser algo fácil de decir y difícil de adivinar. No hace falta guardarla en notas; basta con repetirla un par de veces juntos. Cada pocos meses se puede cambiar el código, sobre todo si la familia es activa en redes sociales o tiene apariciones públicas.
Otro recurso útil es la "lista de palabras de parada". Si en el mensaje aparecen "no llames", "no se lo digas a nadie", "transfiere ahora mismo", pasará automáticamente al modo de verificación y no discutirá detalles en el mismo chat. No es paranoia, es disciplina. Según publicaciones de seguridad, los atacantes construyen la comunicación para aislar a la víctima de consejos.
Qué conviene hacer con antelación
- guardar los números actualizados de los allegados en la agenda
- añadir un contacto de respaldo a quien llamar para comprobar rápidamente
- hablar del escenario "si me han hackeado" y cómo avisar a la familia
- practicar la comprobación una vez, como un simulacro
Ajustes en los mensajeros y en el teléfono que reducen el riesgo
El deepfake por sí solo no compromete su cuenta. Aumenta la probabilidad de que usted haga algo peligroso. Por eso los ajustes deben perseguir dos objetivos: dificultar el secuestro de la cuenta y hacer más visible la suplantación de contactos.
En WhatsApp active la verificación en dos pasos; añade un PIN al registrar la cuenta en un nuevo dispositivo. La guía está en la ayuda WhatsApp. También es útil activar las notificaciones de cambio de código de seguridad para ver cuándo cambian las claves de cifrado de un contacto. La descripción del mecanismo está en la página sobre códigos.
En Telegram active la verificación en dos pasos —es una contraseña que se solicita al entrar desde un dispositivo nuevo—. La descripción oficial está en el blog de Telegram. También es importante saber cómo denunciar mensajes y canales con el botón incorporado Report. Este procedimiento se explica en las preguntas frecuentes.
En Signal apueste por verificar a sus contactos mediante el número de seguridad (safety number). No es una "marca de identidad", pero es una buena forma de notar el cambio de dispositivo y protegerse de ataques al canal. Explicaciones detalladas están en la ayuda de Signal, así como en las recomendaciones de autoprotección Cómo protegerse.
En el teléfono preste atención al phishing y a los enlaces sospechosos. Si le envían una invitación a una llamada o a un "servicio de soporte", es un punto de entrada clásico para el fraude. Apple describe cómo reconocer la ingeniería social y dónde enviar informes; vea la página de Apple.
| Plataforma | Qué activar | Qué comprobar en caso de sospecha |
|---|---|---|
| verificación en dos pasos, notificaciones sobre códigos de seguridad | si el número coincide, si hay petición de código, si cambió el código de seguridad en el chat | |
| Telegram | verificación en dos pasos, control de sesiones activas | autenticidad de la cuenta, peticiones de transferencia, intentos de llevar la conversación a un chat "secreto" |
| Signal | verificación del número de seguridad, atención a las advertencias de cambio | solicitudes inesperadas de dinero, rechazo de la frase de control, historias "urgentes" extrañas |
Si el ataque ya ocurrió
Si ha enviado dinero, actúe como en cualquier estafa, pero más rápido. Guarde la conversación, los números, los enlaces y los datos de la transferencia. Contacte con el banco e intente cancelar la transferencia o iniciar la devolución. Cuanto antes, mayores las posibilidades.
Si facilitó un código por SMS o sospecha que le han tomado la cuenta, restaure el acceso con urgencia y active medidas adicionales. En WhatsApp conviene saber que la llegada de un "código de registro sin solicitarlo" suele indicar un intento de vincular su número a otro dispositivo. En Telegram revise las sesiones activas y cambie la contraseña de verificación en dos pasos. En Signal atienda las advertencias sobre el cambio del número de seguridad y vuelva a verificar el contacto.
Avise aparte a la familia. La forma más simple es escribir en el chat común que su cuenta pudo haber sido comprometida y que hay que ignorar las peticiones de dinero hasta confirmarlas por llamada. Esto reduce el riesgo de un ataque en cadena, cuando los estafadores van recorriendo los contactos de la víctima.
Informe de lo ocurrido mediante las herramientas integradas de la plataforma. En Telegram hay botones para Report y secciones de ayuda sobre spam. En Signal se puede denunciar spam desde la solicitud de conversación. En WhatsApp hay herramientas de bloqueo y denuncia recogidas en la página de Security.
Y por último: si le enviaron "prueba en vídeo" o "voz", no lo reenvíe sin necesidad. Mejor envíe una advertencia breve con sus propias palabras y pida a los allegados que comprueben cualquier mensaje urgente con una llamada. En un mundo donde el clon digital está al alcance de cualquier atacante, gana quien sabe verificar y no se deja llevar por la prisa.
