Crecen los ataques personalizados que apuntan a áreas financieras y ejecutivos para acceder a decisiones de transferencias e información crítica de las organizaciones.
En enero de 2024, un director financiero de la multinacional Arup participó en una videollamada con quien creía que era el CFO y otros ejecutivos de la empresa. Todo parecía normal: los rostros, las voces y los gestos coincidían. Tras seguir las instrucciones recibidas, autorizó 15 transferencias por un total de USD 25 millones. Minutos después descubrió que ninguno de los participantes era real y que las imágenes y voces habían sido generadas con inteligencia artificial.
El caso evidencia una tendencia creciente en el mundo corporativo. Según cifras del FBI, el fraude por suplantación de ejecutivos o Business Email Compromise generó pérdidas por USD 2.770 millones en Estados Unidos durante 2024. Además, los deepfakes corporativos crecieron 3.000% en el último año, mientras que actualmente es posible clonar una voz con menos de 60 segundos de audio utilizando herramientas gratuitas.
La situación también afecta a América Latina. Datos de ESET indican que el 27% de las empresas de la región sufrió al menos un ciberataque en el último año. En el caso de Argentina, el país se ubica entre los 10 con más credenciales robadas a nivel global, representando el 3,04% del total mundial según Surfshark. Asimismo, se registraron más de 1.600 millones de intentos de ataque durante el primer semestre de 2025. El tiempo promedio para remediar una credencial expuesta alcanza los 94 días.
Pablo García, BDM Cyber LATAM de TIVIT, advierte que estos ataques suelen ser altamente planificados. “Los ciberdelincuentes recopilan información pública de las organizaciones a través de plataformas como LinkedIn, comunicados corporativos y redes sociales para identificar quiénes autorizan pagos, cómo se comunican los ejecutivos y cuáles son sus rutinas. Luego utilizan correos fraudulentos, llamadas con voces clonadas o videollamadas con deepfakes para engañar a sus víctimas”, comenta.
Además, comenta que el whaling apunta directamente a ejecutivos porque aprovecha la jerarquía que tiene el CEO y CFO en la compañía. “Este fraude no explota fallas tecnológicas, explota procesos internos y la urgencia del día a día”, señala García.
Frente a este panorama, el especialista de TIVIT, recomienda reforzar controles internos para evitar fraudes financieros y accesos indebidos a información crítica:
- Doble validación obligatoria: si el “CEO” solicita una transferencia urgente por correo o mensaje, se debe confirmar el pedido mediante una llamada a un número previamente registrado y no al que figure en la comunicación recibida.
- Segregación de funciones: quien solicita una operación no debería aprobarla ni ejecutarla. Aunque parece una medida básica, muchas empresas aún concentran todo el proceso de pagos en una sola persona.
- Autenticación multifactor (MFA): dado que gran parte de los ataques inicia con credenciales robadas, activar un segundo factor de autenticación se convierte en una de las principales barreras de protección.
El fraude dirigido refleja un cambio en la dinámica del cibercrimen, con ataques cada vez más personalizados y orientados al negocio. Por ello, García recomienda que las empresas revisen periódicamente quiénes pueden autorizar operaciones, bajo qué mecanismos de validación y cómo actuar frente a solicitudes urgentes realizadas por altos ejecutivos.
