Estafas con voz clonada por IA: cómo proteger a tu empresa
El "fraude del falso jefe" no es nuevo, pero antes requería un buen actor de voz o una llamada con mala cobertura para ser convincente. Con la IA, basta un audio público de unos segundos para clonar la voz de tu jefe, un proveedor o un familiar. Ya hay casos reales en España, y conviene saber cómo protegerse antes de que te toque a ti.
Cómo funciona la clonación de voz hoy
Con herramientas gratuitas, 3 segundos de audio bastan para producir un clon reconocible por teléfono — un fragmento sacado de un vídeo de Instagram, un mensaje de voz o incluso el saludo de un buzón de voz. Es menos fiel que la clonación "profesional" que ofrecen herramientas como ElevenLabs con varios minutos de audio limpio, pero es suficiente para engañar por un canal de baja calidad como una llamada de teléfono.
Casos reales en España
Esto ya está pasando, no es un escenario hipotético:
- Cortegada (Ourense), julio de 2026: estafadores clonaron la voz de un amigo de un empresario simulando que estaba secuestrado y amenazado. El empresario llegó a pagar 500€ de un primer "rescate" antes de negarse a peticiones posteriores de 1.000-2.000€ más. Caso bajo investigación de la Guardia Civil
- León, febrero de 2026: según un caso documentado por INCIBE, clientes de una empresa recibieron llamadas con la voz clonada del propio empresario pidiéndoles pagar a una cuenta bancaria distinta de la habitual. El intento se frustró a tiempo
- Italia, febrero de 2025: estafadores clonaron la voz del ministro de Defensa italiano para pedir "rescates" a empresarios de primer nivel, alegando periodistas secuestrados. Al menos una víctima llegó a transferir 1 millón de euros antes de que el propio ministro desmintiera públicamente la llamada
Qué dicen las cifras (y qué no)
Aquí conviene ser cuidadoso, porque circulan muchas cifras de dudoso origen. Las más sólidas: el FBI documentó en su informe de 2025 más de 22.000 denuncias relacionadas con fraude por IA en EE.UU., con 893 millones de dólares en pérdidas — aunque esa cifra agrupa todo tipo de "imposter scams", no solo voz clonada. A nivel europeo, un informe de Europol encontró que cerca de la mitad de las empresas de varios países habían sufrido algún intento de fraude por deepfake de audio o vídeo.
Circula también la cifra de "929 millones de euros" atribuida a veces a fraude español con IA — pero al revisar la fuente original, es una cifra global (no solo de España) y el 80% corresponde a estafas de inversión con deepfakes de famosos, no al fraude del falso jefe o proveedor. No existe, hasta donde hemos podido verificar, un estudio propio de un organismo español (Banco de España, Guardia Civil) que cuantifique específicamente este tipo de fraude en pymes — las cifras que circulan con ese enfoque suelen venir de empresas de ciberseguridad, útiles como orientación pero no como dato oficial.
El protocolo que sí funciona
INCIBE (el organismo público español de ciberseguridad) recomienda, tanto para empresas como para particulares, un principio simple pero eficaz:
- Nunca uses la llamada de voz como único método de verificación para una orden de pago o transferencia, por urgente que suene
- Exige doble confirmación por otro canal: cuelga y llama de vuelta al número habitual guardado en tu agenda (no al que te ha llamado), o confirma por email corporativo o por una app de mensajería con el contacto ya guardado
- Pacta una palabra clave con las personas de máxima confianza de tu empresa (socios, dirección) que solo vosotros conozcáis, para usar en situaciones de urgencia
- Forma a quien gestione pagos en tu empresa sobre este tipo de fraude específicamente, no solo sobre phishing por email
- Si detectas un intento, recopila evidencias (grabación, número, hora) y denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, o llama a la Línea de Ayuda en Ciberseguridad de INCIBE (017)
¿Existe alguna herramienta de detección?
Existen herramientas de detección de nivel empresarial (Pindrop, Reality Defender), pero están pensadas para bancos y grandes centros de atención al cliente, no para una pyme. Detectar de oído una voz clonada en tiempo real es, en la práctica, casi imposible en 2026. El mensaje honesto es que no conviene depender de la tecnología para detectarlo — el protocolo organizativo (verificación por un segundo canal) sigue siendo la defensa más fiable que existe hoy.
Qué dice la ley española
En la práctica, este fraude se persigue en España como estafa (artículos 248-249 del Código Penal): usar un engaño para inducir a alguien a hacer una transferencia patrimonial en su perjuicio, con penas de hasta 3 años de prisión (hasta 6 si la cantidad supera los 50.000€ u otros agravantes aplican). No existe todavía un tipo penal específico y consolidado para "fraude mediante voz sintética generada por IA" como categoría propia — la reforma aprobada en 2025 que tipifica expresamente los deepfakes se centra en contenido sexual no consentido y grooming, no en el fraude económico.