Perfiles falsos en redes sociales. Fotos generadas por IA. Videos con uniformes de la Guardia Civil, tono institucional, mensajes de advertencia que parecen oficiales. Detras, estafadores que piden datos personales a ciudadanos que confian en lo que ven.
Esto no es ciencia ficción. Ocurrio en Espana, esta documentado, y la propia Guardia Civil ha tenido que alertar a la poblacion sobre como verificar la autenticidad de los perfiles antes de interactuar con ellos.
El dato mas inquietante no es que ocurriera. Es lo que dijo la fuente: los deepfakes actuales son "practicamente imperceptibles para el ojo no entrenado". Hace dos años habia errores visibles. Hoy ya no.
Si una institucion del Estado puede ser suplantada de forma convincente, tu empresa esta expuesta al mismo riesgo. Y la mayoria no lo sabe hasta que lo tiene encima.
La Guardia Civil suplantada por deepfake
El mecanismo es preciso. Los atacantes crean perfiles en redes sociales con fotografias generadas por inteligencia artificial: uniformes correctos, contextos institucionales, rostros que no pertenecen a ninguna persona real pero que resultan completamente convincentes. Los perfiles replican el tono formal y la estructura de comunicación de cuentas oficiales verificadas.
Una vez creados, los perfiles ofrecen "consejos de seguridad", publican alertas sobre amenazas y envian mensajes directos solicitando información personal bajo pretextos de investigaciones ficticias. El objetivo es el mismo de siempre: conseguir datos, conseguir dinero, conseguir acceso.
Lo que ha cambiado es la escala de producción y la calidad del resultado. Un atacante puede crear un perfil convincente en horas. No necesita expertos en imagen ni equipos de producción. Solo necesita las herramientas de IA que estan disponibles para cualquiera.
25M USD
Importe transferido por el director financiero de una empresa de Hong Kong tras una videollamada deepfake con el "CEO" y varios directivos de la empresa. El caso, documentado en 2024, es el primer gran caso público de CEO fraud con deepfake en tiempo real.
El mismo ataque, contra tu empresa
El deepfake de la Guardia Civil es un caso de fraude al ciudadano. Pero la tecnologia es identica a la que se usa contra empresas, y el objetivo es mucho mas lucrativo.
CEO fraud con deepfake de voz. Un empleado recibe una llamada telefonica del CEO pidiendo una transferencia urgente y confidencial. La voz es identica. El tono es correcto. El contexto es creible. La llamada dura 90 segundos. El dinero sale de la cuenta antes de que nadie pueda verificar nada. Este tipo de ataque ya tiene precedentes documentados en Espana y Europa.
Videollamadas deepfake en tiempo real. El caso de Hong Kong en 2024 cambio la percepcion del riesgo: el director financiero de una empresa multinacional asistio a una videollamada con varias personas, incluido el "CEO". Todos eran deepfakes generados en tiempo real. Resultado: 25 millones de dólares transferidos. La empresa no detecto el fraude hasta después.
Phishing con IA generativa. Los emails de phishing solian tener errores gramaticales, traducciones automáticas evidentes, contextos genéricos. Ya no. Los modelos de lenguaje actuales generan emails perfectamente personalizados: conocen el nombre del destinatario, su cargo, su empresa, sus proyectos recientes. Pasan todos los filtros de spam. No hay señal de alarma visible.
Suplantacion de proveedores y clientes. Un email del proveedor habitual con las instrucciones de pago actualizadas. Una comunicación del cliente con una solicitud urgente. Todo generado por IA, todo perfectamente imitado, todo dirigido a conseguir una accion antes de que alguien lo verifique.
El patron es siempre el mismo
Urgencia + autoridad + canal de confianza. La IA no invento el fraude. Lo que ha cambiado es que ahora cualquier atacante puede replicar perfectamente los tres elementos sin necesitar expertise técnico ni grandes recursos.
Por que tu equipo no lo vera venir
Si los ciudadanos no pueden distinguir un perfil deepfake de la Guardia Civil de uno real, no hay razón para asumir que los empleados de una empresa van a detectar un email de phishing generado por IA o una llamada de voz clonada del CEO.
El problema no es la inteligencia de las personas. Es la falta de entrenamiento específico. Un equipo que no sabe como funciona la IA generativa, que no conoce las señales de alerta de contenido sintetico y que no tiene protocolos de verificación ante solicitudes urgentes es un equipo vulnerable por definicion.
Vision Compliance público en abril de 2026 que el 83% de las organizaciones no tiene un inventario formal de los sistemas de IA que usa o despliega. Si una empresa no sabe qué IA tiene dentro, es muy poco probable que sepa reconocer la IA que viene de fuera.
La brecha es doble: tecnológica y humana. Las herramientas de detección de deepfakes existen, pero no son infalibles y requieren implementación activa. El factor humano es el mas explotado precisamente porque es el mas desprotegido.
Las señales que tu equipo deberia reconocer
Solicitudes urgentes que evitan los canales habituales. Cambios de datos bancarios por email sin confirmacion telefonica. Videollamadas donde la persona parpadea raramente o el audio va ligeramente desfasado. Emails con personalizacion excesiva pero sin firma verificable. Ninguna de estas señales requiere software especializado: requiere formación.
Lo que exige el EU AI Act
El Artículo 4 del EU AI Act no habla solo de gobernanza corporativa. Exige que toda persona que trabaje con sistemas de IA tenga un nivel suficiente de alfabetizacion en inteligencia artificial. Y ese nivel incluye, necesariamente, la capacidad de reconocer contenido generado por IA.
La obligación lleva en vigor desde febrero de 2025. El plazo de cumplimiento efectivo con sanciones activas es agosto de 2026. Quedan cuatro meses.
Las sanciones por incumplimiento del Artículo 4 alcanzan hasta 7,5 millones de euros o el 1% de la facturación global anual. Pero la sanción regulatoria es el escenario menor. El escenario mayor es el director financiero que transfiere 25 millones porque nadie le enseno a verificar una videollamada.
La AESIA tiene competencia para inspeccionar si la formación existe, si esta documentada y si cubre las obligaciones del Artículo 4. No es suficiente con haber dado "un curso de IA". Tiene que ser formación específica, con contenido relevante para el puesto y con evidencia de que se realizo.
7,5M EUR
Sanción maxima por incumplimiento del Artículo 4 del EU AI Act (alfabetizacion en IA). O el 1% de la facturación global anual, lo que sea mayor. Plazo: agosto 2026.
Formación como primera línea de defensa
La formación en IA segura no es solo un requisito de compliance. Es la primera línea de defensa contra los ataques que utilizan IA como vector.
Un equipo formado sabe como funciona la IA generativa, conoce sus limitaciones y sus señales de alerta, tiene protocolos para verificar solicitudes inusuales y entiende por que la urgencia y la autoridad son los dos factores que los atacantes explotan primero. No necesita software especializado para detectar el 80% de los intentos. Solo necesita saber que buscar.
El mismo conocimiento que cumple con el Artículo 4 del EU AI Act es el que protege a tu empresa de un CEO fraud por deepfake. No son dos cosas distintas. Son la misma cosa vista desde dos angulos.
Las empresas espanolas con crédito FUNDAE pueden cubrir el 100% del coste de la formación. No hay excusa presupuestaria. El unico coste real es el tiempo de la plantilla, que se mide en horas, no en dias.
Formación EU AI Act · Artículo 4
Forma a tu equipo antes de que llegue el deepfake
Nuestro curso de Aplicación Segura de IA en la Empresa cubre el reconocimiento de contenido generado por IA, los vectores de ataque actuales y las obligaciones del Artículo 4. Bonificable al 100% con crédito FUNDAE. Certificados por participante incluidos.
Ver Programa de Formación →Tu equipo necesita formacion en IA segura
El EU AI Act exige alfabetizacion IA para toda la plantilla desde agosto 2026. Nuestros cursos cubren compliance, agentes IA y gobernanza. FUNDAE puede subvencionar el 100% del coste.
