Un incidente reciente reportado por un cliente ha puesto de relieve un vector de ataque que hasta hace poco parecía teórico: el uso de clonación de voz mediante inteligencia artificial para suplantar empleados y engañar a los equipos de soporte técnico.

El escenario fue aparentemente rutinario. Un supuesto empleado llamó al helpdesk interno indicando que había perdido el acceso a su cuenta y solicitaba un reseteo urgente. La llamada no levantó sospechas: la voz coincidía perfectamente con la del trabajador real, tanto en tono como en ritmo y expresiones habituales. El analista estuvo a punto de ejecutar el procedimiento estándar.

Solo una verificación por un canal alternativo evitó el incidente. El empleado auténtico se encontraba de viaje y no había realizado ninguna solicitud. El intento había sido una suplantación.

Un nuevo tipo de ingeniería social

A diferencia de los ataques clásicos basados en correos falsos, enlaces maliciosos o exploits técnicos, este incidente no implicaba malware ni vulnerabilidades de software. Se trataba de ingeniería social aumentada por inteligencia artificial.

La clonación de voz ya no requiere recursos sofisticados. Con apenas unos minutos de audio —frecuentemente disponibles en presentaciones públicas, vídeos corporativos o redes sociales— es posible generar una réplica altamente creíble. Esto convierte a los equipos de helpdesk en un objetivo privilegiado: operan bajo presión, están orientados a ayudar y manejan procesos sensibles como desbloqueos, reseteos y cambios de credenciales.

El problema no es solo técnico, sino humano y procedimental.

Impacto para la seguridad corporativa

Este tipo de ataques desafía uno de los supuestos tradicionales de la seguridad: que el reconocimiento humano es una señal fiable. La capacidad de identificar a alguien por su voz deja de ser un control válido cuando la voz puede falsificarse con gran precisión.

Esto tiene implicaciones directas para:

• Procesos de recuperación de cuentas.
• Soporte remoto de accesos.
• Flujos de autorización basados en confianza interpersonal.
• Modelos de amenaza que aún no contemplan este vector.

El incidente refuerza un principio clave: Zero Trust también debe aplicarse a las interacciones humanas. Ninguna llamada, por familiar que parezca, debe ser suficiente para autorizar una acción sensible.

La suplantación de voz debe considerarse un nuevo vector dentro del espectro de la ingeniería social avanzada, y tratarse con el mismo rigor que el phishing, el vishing o los ataques de pretexting.

• NIST SP 800-63: Digital Identity Guidelines
• Europol: Facing Reality? Law Enforcement and the Challenge of Deepfake Technology
• ENISA: Threat Landscape Report – Social Engineering and Deepfake-enabled Attacks