Tu jefe en pantalla no es tu jefe

Una cara conocida en Zoom ya no basta. Cuando la voz, el gesto y el lenguaje pueden clonarse, la única defensa real vuelve a ser el proceso.

4 min de lectura

Zoom. El CEO aparece en pantalla.

Cara conocida, voz conocida. Pide una transferencia urgente. Diez minutos después, el dinero ya no está.

No es una escena de ficción

Ya ha ocurrido. Un trabajador del área financiera fue engañado para transferir alrededor de 25 millones de dólares tras una videollamada con aparentes ejecutivos de su empresa. Eran identidades sintéticas.

La lección es incómoda y simple: la presencia digital ha dejado de ser prueba suficiente. Ver y oír ya no equivale a verificar.

La estafa perfecta ya no es cara

La expansión de herramientas accesibles ha reducido radicalmente el coste del engaño. Lo preocupante no es solo la calidad, sino la facilidad con la que se puede montar una operación creíble con material público y un guion mínimamente trabajado.

Eso cambia el tipo de riesgo. El fraude deja de ser un ataque excepcional y pasa a convertirse en una práctica repetible, barata y escalable.

La identidad visual ha dejado de ser evidencia. Ahora solo manda el protocolo.

Cómo funciona realmente

El atacante recopila vídeos, entrevistas, audios o webinars del directivo. Después reconstruye su voz, su cara y su forma de hablar. La llamada falsa solo necesita un contexto convincente: urgencia, confidencialidad y autoridad.

El truco no consiste en engañar durante una hora. Basta con mantener la ficción el tiempo suficiente para lograr una orden, una aprobación o una transferencia.

Señales que deberían activar alarma

• Presión para ejecutar una operación de inmediato.
• Petición de saltarse validaciones o doble aprobación.
• Resistencia a confirmar la orden por otro canal.

La defensa útil no es confiar en la detección

El error es pensar que la solución será una herramienta capaz de distinguir siempre lo verdadero de lo falso. En la práctica, la estrategia más sólida es asumir que el engaño puede parecer perfecto durante unos minutos.

Por eso, las organizaciones necesitan diseñar procesos donde incluso un directivo aparentemente auténtico no pueda provocar daño sin validaciones previas.

Qué debería cambiar desde hoy

Ninguna transferencia sensible debería ejecutarse sin doble autorización. Ninguna solicitud urgente debería validarse solo en el mismo canal donde se recibe. Y ninguna excepción debería aprobarse sin dejar rastro.

La llamada al número conocido, el mensaje por un canal independiente o la confirmación con otra persona del circuito ya no son burocracia. Son control operativo.