Omnigest – Logo

Blog de OMNIGEST

Deepfake y Vishing con IA: Amenazas para Empresas e Infraestructura en España 2025

Noticias, artículos y consejos sobre consultoría integral, protección de datos y más.

Deepfake y Vishing con IA: Amenazas para Empresas e Infraestructura en España 2025

2025-07-30

La nueva era de las amenazas digitales

La irrupción de la inteligencia artificial en la ciberseguridad ha marcado un punto de inflexión sin precedentes. Si bien esta tecnología ha permitido avances significativos en la protección de datos y la detección temprana de ataques, también ha abierto la puerta a amenazas más sofisticadas y difíciles de identificar. Entre estas amenazas destacan dos que en 2025 han alcanzado un nivel de madurez alarmante: los deepfakes de voz e imagen y el vishing automatizado mediante IA.

En España, tanto las grandes corporaciones como las infraestructuras críticas —banca, energía, telecomunicaciones y transporte— están siendo el objetivo de campañas cada vez más elaboradas. El fraude por suplantación de identidad ya no se limita a correos electrónicos falsos o mensajes de texto maliciosos; hoy los ciberdelincuentes pueden recrear la voz exacta de un directivo o incluso generar videollamadas en tiempo real con un rostro falsificado, solicitando transferencias, acceso a sistemas o datos sensibles.

En este artículo, el equipo de OMNIGEST analiza el impacto real de estas amenazas, las cifras más recientes que evidencian su crecimiento exponencial y las estrategias efectivas que deben implementar las empresas españolas para protegerse en este nuevo escenario.

¿Qué son los deepfakes y el vishing basado en IA?

Deepfake: manipulación hiperrealista

El término deepfake hace referencia a contenidos audiovisuales generados mediante redes neuronales avanzadas, capaces de imitar con precisión voces y rostros reales. En el ámbito corporativo, esto significa que un atacante puede clonar la voz del director financiero y solicitar una transferencia urgente, o crear un vídeo en el que el supuesto CEO comunica instrucciones falsas a los empleados.

La tecnología que hace esto posible ha evolucionado a tal velocidad que en 2025 cualquier muestra de voz de apenas 30 segundos publicada en redes sociales puede ser suficiente para entrenar un modelo y generar imitaciones casi imposibles de distinguir del original.

Vishing: phishing por voz potenciado por IA

El vishing (voice phishing) consiste en estafas telefónicas donde el atacante busca obtener información sensible o inducir a la víctima a realizar una acción, como transferir fondos. Con la llegada de la IA, estas llamadas han dejado de ser torpes o fácilmente reconocibles: ahora pueden mantener conversaciones naturales, responder preguntas complejas y simular emociones humanas, aumentando drásticamente su efectividad.

Estadísticas que evidencian la magnitud del problema en 2025

Los datos más recientes son claros y preocupantes:

  • Según el Voice Intelligence & Security Report 2025, los fraudes de voz deepfake han crecido un 155 % respecto a 2023, y el fraude por vishing ha aumentado un 162 % en el mismo periodo.
  • En Europa, los incidentes reportados de suplantación de voz en empresas del sector financiero superaron los 1.200 casos en el primer semestre de 2025.
  • Un estudio de Proofpoint indica que cuatro de cada diez ataques BEC (Business Email Compromise) ya integran audio o vídeo deepfake para reforzar su credibilidad.
  • España figura entre los diez países más afectados por estas técnicas, debido a la alta adopción de canales digitales y el uso intensivo de herramientas de comunicación corporativa en remoto.

Impacto en empresas e infraestructuras críticas en España

Riesgo financiero

La consecuencia más inmediata de estos ataques es la pérdida económica. Empresas españolas han reportado transferencias no autorizadas por valor de millones de euros, inducidas mediante llamadas que imitaban la voz de altos directivos. En algunos casos, las órdenes falsas estaban tan bien elaboradas que ni los equipos financieros ni los sistemas de control interno pudieron detectarlas a tiempo.

Riesgo reputacional

Un deepfake no solo puede usarse para robar dinero; también puede destruir la reputación de una empresa. Un vídeo manipulado que muestre a un directivo haciendo declaraciones falsas puede viralizarse en redes sociales en cuestión de minutos, afectando el valor de las acciones y la confianza de clientes y socios.

Amenaza para la seguridad pública

Cuando los ataques se dirigen a infraestructuras críticas —como plantas energéticas, redes de transporte o sistemas sanitarios— el impacto trasciende lo económico y puede comprometer la seguridad de toda la población. Un ejemplo documentado es el intento de acceso a una planta de tratamiento de agua mediante una llamada deepfake que simulaba la voz de un supervisor autorizado.

Cómo operan los atacantes: técnicas y vectores de ataque

  1. Captura de muestras de voz o imagen: se obtienen de redes sociales, conferencias online o grabaciones públicas.
  2. Entrenamiento de modelos IA: se utilizan redes generativas adversarias (GAN) o sistemas TTS avanzados.
  3. Automatización del ataque: se combinan bots de voz con LLMs (modelos de lenguaje) para sostener conversaciones realistas.
  4. Ingeniería social multicanal: el deepfake se refuerza con correos electrónicos falsos, mensajes de texto y documentos manipulados.
  5. Explotación en tiempo real: ataques durante videollamadas, donde se simula la voz e imagen del supuesto emisor.

Casos reales recientes

  • Fraude a multinacional europea: en 2024, una empresa de marketing global fue víctima de un deepfake de su CEO que ordenó transferir 25 millones de euros a cuentas fraudulentas. El incidente se destapó semanas después, cuando la voz y el vídeo se analizaron y se detectaron microanomalías en el timbre.
  • Campaña masiva en España: en 2025, el INCIBE alertó de un aumento del 200 % en llamadas vishing dirigidas a PYMES españolas, con grabaciones de voz clonadas de proveedores reales.
  • Ataque a infraestructura crítica: una planta eléctrica en la península ibérica sufrió un intento de sabotaje mediante una llamada deepfake que solicitaba el apagado de un sistema para una “revisión urgente”.

Estrategias de defensa para empresas e infraestructuras

1. Implementar una política de verificación multifactor

Ninguna orden sensible debe ejecutarse únicamente por llamada o videoconferencia. Se recomienda la doble verificación por canales independientes (correo corporativo cifrado, firma digital).

2. Adopción de tecnologías de detección de deepfakes

Existen herramientas basadas en IA que analizan patrones acústicos y visuales para detectar alteraciones: Microsoft Video Authenticator, Reality Defender o Pindrop Pulse ya se usan en entornos corporativos.

3. Entrenamiento continuo del personal

Los programas de concienciación deben incluir simulacros de vishing y ejemplos reales de deepfakes. En OMNIGEST diseñamos formaciones adaptadas al sector y tamaño de cada empresa, reforzando la cultura de ciberalerta.

4. Monitorización y análisis de comportamiento

Integrar sistemas SIEM y MDR que detecten anomalías en las comunicaciones internas y externas, incluyendo análisis de patrones de voz y actividad en tiempo real.

5. Protección legal y cumplimiento normativo

En España y la UE, la normativa NIS2 y el Reglamento de IA obligan a las empresas a adoptar medidas proactivas frente a riesgos de inteligencia artificial. No cumplir estas obligaciones puede derivar en sanciones millonarias.

El papel de OMNIGEST en la protección contra amenazas deepfake y vishing

En OMNIGEST ofrecemos un enfoque integral para proteger a las empresas frente a estas amenazas emergentes:

  • Auditorías de riesgo personalizadas para evaluar la exposición a deepfakes y vishing.
  • Planes de respuesta a incidentes adaptados a cada sector (finanzas, energía, telecomunicaciones).
  • Formación práctica para directivos y empleados, incluyendo simulaciones de ataques reales.
  • Asesoría legal y de cumplimiento en materia de protección de datos y normativas europeas.
  • Integración de tecnologías de detección y monitorización en tiempo real.

Para más información sobre nuestros servicios, visita nuestra sección de Protección de Datos.

Conclusión

Los deepfakes y el vishing impulsados por inteligencia artificial representan una de las mayores amenazas de ciberseguridad en 2025. Su capacidad para engañar incluso a profesionales experimentados exige a las empresas españolas replantearse por completo sus estrategias de protección. No se trata solo de invertir en tecnología, sino de crear una cultura organizacional que combine vigilancia, formación y protocolos claros de verificación.

La pregunta ya no es si tu empresa será objetivo de este tipo de ataque, sino cuándo ocurrirá y qué tan preparada estará para afrontarlo.

En OMNIGEST estamos listos para ayudarte a dar ese paso hacia la seguridad del futuro.

← Back to Blog
© 2025 OMNIGEST — Todos los derechos reservados.