Cuando el futbolista Lionel Messi apareció en un video de Instagram recomendando una aplicación llamada Wildcat Dive como una de sus principales fuentes de ingresos, miles de usuarios en toda la región lo vieron sin sospechar nada. El material parecía auténtico, con gestos naturales y tono convincente. Sin embargo, el video era falso. Estafadores habían tomado una entrevista real que Messi concedió a un programa de streaming y, mediante inteligencia artificial, superpusieron una nueva voz tanto sobre el futbolista como sobre el conductor, convirtiendo una charla cotidiana en una publicidad fraudulenta perfectamente sincronizada. La manipulación no solo replicaba la imagen, sino también la cadencia y la entonación, lo que aumentaba su credibilidad. Según un estudio de la empresa de ciberseguridad SkyShark, las estafas con deepfakes provocaron pérdidas globales por unos 1.100 millones de dólares en 2025. El caso, documentado y alertado por ESET Latinoamérica, refleja el momento que atraviesa la ciberseguridad global: los deepfakes dejaron de ser un experimento técnico para convertirse en un vector de ataque masivo. Aunque el engaño al usuario individual resulta preocupante, el verdadero impacto se manifiesta en el entorno empresarial, donde las consecuencias pueden traducirse en pérdidas económicas, sanciones regulatorias y daño reputacional. En el ámbito corporativo, los deepfakes apuntan a un punto crítico: los sistemas de validación de identidad. Martín Ambort, especialista en identidad digital y ciberseguridad de Cloud Legion, explica: “Lo que puede hacer un atacante es, en vez de colocar su propio rostro, inyectar un video mío mostrando mi cara. Eso haría que se viole la validación biométrica o la validación de identidad. Es lo más común que está pasando hoy”. Ambort advierte que los flujos más vulnerables son los que requieren aprobación para movimientos de alto valor, como transferencias, pagos y préstamos. Son instancias donde muchas empresas implementan validación facial convencidas de que esa capa tecnológica era suficiente para frenar fraudes. Ileana Barrionuevo, ingeniera e investigadora del Grupo de Seguridad Informática y Ciberseguridad (GSIC) de la UTN, detalla que las redes más utilizadas por los atacantes son las GAN, que funcionan con dos componentes: una red genera el contenido falso y otra lo contrasta contra material real para minimizar diferencias hasta volverlo prácticamente indistinguible. Los sistemas de detección más avanzados analizan textura de piel, distancia entre rasgos faciales y reflejos corneales, un detalle sutil de la luz en la córnea que los algoritmos aún no reproducen con total fidelidad. El impacto no es homogéneo. Las grandes corporaciones cuentan con recursos para contratar tecnología de última generación y afrontar eventuales sanciones. Las Pymes, en cambio, operan con menor margen financiero y menor madurez en cultura de seguridad. Ambort señala que una multa por brecha de datos bajo el GDPR puede equivaler al 4% del ingreso bruto anual de una compañía, algo potencialmente fatal para una empresa mediana. “Las corporaciones no digo que estén aisladas porque son el principal target, pero habitualmente tienen el soporte tecnológico, la herramienta de última generación que puede llegar a detectar. Las que la tienen más complicadas son las PyMEs”, explica. Barrionuevo agrega que en Argentina quienes reaccionan con urgencia son los bancos y las billeteras virtuales, tras haber sufrido ataques reales. Muchas organizaciones aún no implementan prácticas básicas de seguridad informática. Frente a este escenario, los especialistas recomiendan combinar factores de autenticación y no depender únicamente de biometría facial. “No hay que ir por una sola solución de detección, sino buscar una que integre varios aspectos. Hay que combinar siempre mínimamente dos factores de autenticación: nunca depender únicamente de la biometría facial”, concluye Barrionuevo. En el ámbito empresarial, los deepfakes apuntan principalmente a un punto crítico: los sistemas de validación de identidad. El objetivo detrás de esta suplantación es siempre económico o estratégico: obtener algún rédito, ya sea autorizar una transferencia bancaria, acceder a información confidencial o habilitar permisos dentro de un sistema corporativo. Ambort señala que los flujos más vulnerables son precisamente los que requieren aprobación para movimientos de alto valor, como transferencias, pagos y préstamos, es decir, aquellos puntos donde las empresas implementaron validación facial pensando que eso era suficiente. Uno de los puntos donde los especialistas coinciden con mayor firmeza es que la amenaza no impacta igual a todos los actores del ecosistema empresarial. Las grandes corporaciones tienen la espalda financiera para contratar soluciones de última generación, tercerizar servicios de seguridad especializados y hacer frente a eventuales sanciones regulatorias. Las PyMEs, en cambio, operan en un terreno mucho más expuesto. Ambort pone números concretos sobre la mesa: una multa por brecha de datos personales en Europa bajo el marco regulatorio GDPR puede equivaler al 4% del ingreso bruto anual de una compañía. Para una startup o una empresa mediana, eso puede ser literalmente fatal. — Barrionuevo confirma esta perspectiva desde la investigación académica y añade una dimensión preocupante del panorama local: los únicos actores que están reaccionando con urgencia en Argentina son los bancos y las billeteras virtuales, forzados por la evidencia de haber sufrido ataques reales. El resto del tejido empresarial, en su mayoría, ni siquiera ha terminado de implementar las buenas prácticas básicas de seguridad informática, lo que hace del deepfake una amenaza todavía más lejana de su radar. Frente a esta realidad, ¿qué pueden hacer concretamente las empresas? Ambort propone un enfoque estratégico y gradual que comienza por entender el marco regulatorio en el que opera cada organización, identificar los sistemas más críticos de cara al usuario y diseñar un mix de soluciones que sea sostenible económicamente en el tiempo, sin aspirar necesariamente a la tecnología más costosa desde el día uno. El concepto central que articula su propuesta es el de no repudio: la capacidad de una empresa de demostrar, con evidencia inadulterable, que una operación fue realizada por la persona que dice haberla hecho. Sin ese estándar, cualquier transacción es potencialmente disputada, y la carga de la prueba cae sobre sistemas que quizás no estaban diseñados para soportarla. En materia de detección, el estado del arte apunta hoy hacia los sistemas de detección activa o liveness detection: pruebas de vida en tiempo real que van más allá de comparar una foto con un DNI y le piden al usuario que gire el rostro, parpadee o realice gestos que los deepfakes aún tienen dificultades para simular con precisión. Aunque estos sistemas también son pasables (la tecnología de ataque avanza al mismo ritmo), representan actualmente la capa más robusta disponible para la mayoría de las organizaciones. Para las empresas que ya sufrieron un ataque, Barrionuevo recomienda revisar en profundidad los sistemas de detección disponibles en el mercado, dialogar con los proveedores sobre las características específicas que detectan o no detectan sus soluciones, y reforzar el monitoreo de accesos para poder detectar anomalías geográficas o comportamentales que una validación facial no puede capturar sola.