Deepfakes y Suplantación de Identidad: La Nueva Amenaza de IA que Afecta a PyMEs Mexicanas

Una nueva ola de ciberataques está poniendo en jaque a las pequeñas y medianas empresas mexicanas: los deepfakes generados por inteligencia artificial. Estos ataques utilizan clonación de voz y video para suplantar la identidad de directivos, proveedores y clientes, logrando que empleados realicen transferencias bancarias o compartan información confidencial sin sospechar que están siendo engañados.

Los deepfakes son contenidos multimedia (audio, video o imágenes) creados o manipulados mediante inteligencia artificial para que parezcan auténticos. En el contexto empresarial, los ciberdelincuentes utilizan esta tecnología para:

• Clonar voces de directores generales o gerentes financieros solicitando transferencias urgentes
• Crear videos falsos de ejecutivos en videollamadas autorizando operaciones sensibles
• Suplantar proveedores mediante mensajes de voz o video solicitando cambios en datos bancarios
• Generar correos con audio adjunto que parecen provenir de superiores jerárquicos

Según datos de 2026, México enfrenta más de 40,600 millones de intentos de ciberataques semestrales, y los deepfakes representan una amenaza emergente que está creciendo exponencialmente. Las PyMEs son particularmente vulnerables porque:

• El 90% de los ataques exitosos se deben al factor humano
• Solo 4 de cada 10 PyMEs tienen un plan de respuesta a incidentes
• La mayoría de los empleados no están capacitados para identificar deepfakes
• Las empresas pequeñas carecen de herramientas avanzadas de verificación de identidad

En 2025, una empresa manufacturera en Querétaro perdió 2.3 millones de pesos después de que un empleado del área de finanzas recibió una llamada con la voz clonada del director general solicitando una transferencia "urgente" a un proveedor. La voz era tan convincente que incluía el tono, modismos y hasta la forma de hablar característica del ejecutivo.

• Manufactura y comercio: Empresas con múltiples proveedores y transacciones frecuentes
• Servicios financieros: Instituciones que manejan transferencias de alto valor
• Retail y e-commerce: Negocios con procesos de pago digitalizados
• Construcción: Proyectos con pagos a contratistas y subcontratistas

1. 1Implementar protocolos de verificación en dos pasos: Nunca realizar transferencias basándose únicamente en una llamada o video. Siempre verificar mediante un segundo canal (llamada de regreso al número oficial, mensaje directo, etc.)

1. 2Establecer palabras clave de seguridad: Acordar con tu equipo directivo códigos o frases secretas que deben usarse en solicitudes sensibles

1. 3Capacitación continua del personal: Entrenar a empleados para reconocer señales de deepfakes como inconsistencias en el video, audio robótico o solicitudes inusuales

1. 4Limitar la información pública: Reducir la cantidad de videos y audios de ejecutivos disponibles en redes sociales y sitios web corporativos

1. 5Usar autenticación multifactor (MFA): Implementar MFA en todos los sistemas críticos, especialmente banca en línea y plataformas de pago

• Solicitudes urgentes e inusuales de transferencias o cambios en datos bancarios
• Calidad de audio o video ligeramente degradada o con "glitches"
• Movimientos faciales que no coinciden perfectamente con el audio
• Iluminación o sombras inconsistentes en videos
• Solicitudes que rompen protocolos establecidos de la empresa