TruthScan RESEARCH

Casos reales de deepfake ejecutivo: Cuando los CEO se convierten en objetivo

Inicio / Blog / Casos reales de deepfake ejecutivo: Cuando los consejeros delegados se convierten en objetivo
Christian Perry
Casos reales de deepfake ejecutivo: Cuando los CEO se convierten en objetivo

Cinco incidentes verificados que demuestran que ningún despacho está a salvo de la suplantación de identidad.

Caso práctico 1: La catástrofe del $25M de Arup

Empresa: Arup (empresa mundial de ingeniería responsable de la Ópera de Sídney)
Pérdida: $25,6 millones
Método: Videoconferencia multipersonal con el Director Financiero y el personal de Deepfaked
Date: Principios de 2024

Los expertos en seguridad lo califican como uno de los ataques corporativos deepfake más sofisticados que se han producido nunca. En Hong Kong, un empleado de Arup se unió a lo que parecía una videollamada rutinaria con el director financiero de la empresa en el Reino Unido y otros colegas. La reunión parecía legítima; los participantes parecían y sonaban exactamente igual que los ejecutivos reales.

Durante la llamada, se ordenó al empleado que realizara 15 transacciones distintas, por un total de $200 millones de HK, en cinco cuentas bancarias diferentes. 

Detección de IA Detección de IA

No vuelva a preocuparse por el fraude de IA. TruthScan puede ayudarle:

  • Detectar IA generada imágenes, texto, voz y vídeo.
  • Evite grandes fraudes impulsados por la IA.
  • Proteja sus sensible activos de la empresa.
Pruébalo GRATIS

Sólo después de consultar con la oficina central de la empresa, el empleado se dio cuenta de que todas las personas de esa videollamada habían sido deepfakes generados por IA.

No se trataba de un simple clon de voz o una imagen estática. Los estafadores habían creado un vídeo interactivo en tiempo real de varios ejecutivos al mismo tiempo, creando un nivel de complejidad que marcó una nueva evolución en la ciberdelincuencia corporativa.

"Al igual que muchas otras empresas de todo el mundo, nuestras operaciones están sujetas a ataques regulares, incluyendo fraude de facturas, estafas de phishing, suplantación de voz de WhatsApp y deepfakes. Lo que hemos visto es que el número y la sofisticación de estos ataques han aumentado considerablemente en los últimos meses." Rob Greig, Director de Información de Arup

Caso práctico 2: La cuestión de los $40 millones de Ferrari

Empresa: Ferrari
Objetivo: CEO Benedetto Vigna
Intento de pérdida: No revelado (los rumores apuntan a millones)
Método: Deepfake AI voz con acento del sur de Italia
Date: Julio de 2024
Resultado: Evitado

Los ejecutivos de Ferrari recibieron mensajes por WhatsApp que parecían proceder de su consejero delegado, Benedetto Vigna, junto con su foto de perfil y la marca de la empresa. Los mensajes hablaban de una próxima gran adquisición y pedían que se compartiera inmediatamente información financiera confidencial. En una llamada de seguimiento, el deepfake incluso copió el acento del sur de Italia de Vigna. 

Afortunadamente, un ejecutivo empezó a sospechar e hizo una pregunta sencilla: "¿Cuál era el título del libro que me recomendaste la semana pasada?" Cuando la IA no pudo responder, la estafa se vino abajo.

A veces, la tecnología más sofisticada puede ser derrotada por los protocolos humanos más simples. El caso de Ferrari demuestra tanto la calidad de los deepfakes modernos como el poder de los métodos de verificación personal.

Caso práctico 3: La trampa de Microsoft Teams de WPP

Empresa: WPP (mayor grupo publicitario del mundo)
Objetivo: Director General Mark Read
Método: Cuenta de WhatsApp + reunión de Teams con clon de voz e imágenes de YouTube
Fecha: Mayo 2024
Resultado: Evitado

Los ciberdelincuentes crearon una cuenta falsa de WhatsApp utilizando fotos de acceso público del CEO de WPP, Mark Read. A continuación, utilizaron este material para programar una reunión de Microsoft Teams con otro alto ejecutivo, utilizando la cuenta, solicitando acceso a financiación inmediata e información personal para un "nuevo negocio".

Durante la videollamada, los estafadores utilizaron una combinación de tecnología de clonación de voz e imágenes grabadas de YouTube para hacerse pasar por Read. 

Respuesta del Director General Mark Read: "Afortunadamente, los atacantes no tuvieron éxito. Todos debemos estar atentos a las técnicas que van más allá de los correos electrónicos para aprovecharse de las reuniones virtuales, la IA y los deepfakes."

El caso WPP muestra cómo los ejecutivos con una gran presencia en los medios de comunicación son aún más vulnerables. La gran cantidad de fotos y vídeos públicos de ellos da a los delincuentes el material perfecto para crear deepfakes.

Estudio de caso 4: El esquema del "holograma de IA" de Binance

Empresa: Binance (la mayor plataforma de criptomonedas del mundo)
Objetivo: Patrick Hillmann, Director de Comunicación
Método: Videoconferencia "holográfica" con imágenes de entrevistas televisadas
Date: 2022 (primer caso importante)
Resultado: Múltiples proyectos de criptomonedas engañados

Unos sofisticados hackers construyeron lo que Hillmann denominó un "holograma de inteligencia artificial", utilizando fragmentos de sus apariciones en televisión y en las noticias. El deepfake era tan convincente que logró engañar a varios representantes de criptomonedas durante llamadas de Zoom.

Los delincuentes utilizaron esta tecnología para hacerse pasar por Hillmann en reuniones de proyectos que buscaban listados de Binance. Se trata de uno de los avales más valiosos del sector de las criptomonedas. 

Según Hillmann,   "...aparte de que los 15 kilos que engordé durante COVID están notablemente ausentes, esta profunda falsificación fue lo suficientemente refinada como para engañar a varios miembros muy inteligentes de la comunidad cripto".

El caso Binance supuso un primer aviso de que los delincuentes estaban pasando de los simples clones de voz a sofisticadas suplantaciones de identidad por vídeo dirigidas a procesos empresariales específicos.

Caso práctico 5: La llamada de atención interna de LastPass

Empresa: LastPass (Ciberseguridad/Gestión de contraseñas)
Objetivo: CEO de la empresa
Método: Llamadas de WhatsApp, mensajes de texto y suplantación del buzón de voz
Date: Principios de 2024 

Resultado: Evitado

Los estafadores de Deepfake se dirigieron a LastPass a través de WhatsApp (llamando, enviando mensajes de texto y dejando mensajes de voz) mientras se hacían pasar de forma convincente por el CEO de la empresa.

El empleado que fue objeto del ataque advirtió varias señales de alarma:

  • Las comunicaciones se produjeron fuera del horario laboral normal;
  • La solicitud tenía una urgencia inusitada (una táctica habitual en las estafas);
  • El canal y el enfoque se desviaban de los protocolos de comunicación estándar de la empresa.

Si los profesionales de la ciberseguridad pueden ser atacados con éxito, todas las organizaciones deben asumir que son vulnerables.

El patrón detrás de los casos

El análisis de estos incidentes verificados revela una metodología delictiva coherente:

Casos reales de deepfake ejecutivo: Cuando los CEO se convierten en objetivo

Perfil de vulnerabilidad de los ejecutivos

Las investigaciones demuestran que ciertas características de los ejecutivos aumentan el riesgo de ser objetivo de "deepfake":

  • Presencia significativa en los medios de comunicación (entrevistas de televisión, podcasts, conferencias)
  • Material para hablar en público disponible en línea
  • Autoridad de autorización financiera
  • Operaciones transfronterizas
  • Cargos destacados en el sector

Puntos geográficos críticos:

  • Hong Kong (centro financiero, complejidad normativa)
  • Norteamérica (alta adopción digital, gran economía)
  • Europa (el cumplimiento del GDPR crea retos de verificación)

El factor humano

Incluso con toda la sofisticación tecnológica, muchos ataques siguen basándose en la psicología humana básica:

  • Sesgo de autoridad (órdenes de superiores percibidos)
  • Presión de urgencia (limitaciones artificiales de tiempo)
  • Recursos de confidencialidad (acceso especial, información privilegiada)
  • Prueba social (varios "colegas" presentes)

Los ejecutivos que sobrevivieron a estos ataques comparten rasgos comunes: sano escepticismo, protocolos de verificación y comunicación en equipo sobre posibles amenazas.

Como demuestra el ejemplo de Ferrari, a veces una simple pregunta puede derrotar a una tecnología millonaria.

Referencias

CNN (4 de febrero de 2024) - "Un trabajador de Hacienda paga $25 millones tras una videollamada con un "director financiero" deepfake"

Fortune (17 de mayo de 2024) - "Un 'CFO' deepfake engañó a la empresa británica de diseño detrás de la Ópera de Sídney en un fraude de $25 millones"

The Guardian - Cita de Rob Greig sobre los ataques de Arup

MIT Sloan Management Review (27 de enero de 2025) - "Cómo Ferrari frenó a un CEO de Deepfake"

The Guardian (mayo de 2024) - Intento de deepfake del consejero delegado de WPP, Mark Read

Blog de Incode (20 de diciembre de 2024) - "Expuestos los 5 principales casos de fraude de IA Deepfake a partir de 2024"

Blog de Binance - "Estafadores crearon un holograma de mí para estafar a proyectos desprevenidos" por Patrick Hillmann

Euronews (24 de agosto de 2022) - "Ejecutivo de Binance dice que estafadores crearon deepfake 'holograma' de él"

Eftsure US - "7 Ejemplos de ataques Deepfake: Deepfake CEO scams" - Caso LastPass

Copyright © 2025 TruthScan. Todos los derechos reservados