José Montero, Abogado. CEO de Montero de Cisneros

Hace un año, cuando explicaba a un cliente que alguien podía clonar la voz de su director financiero, todavía sonaba a ciencia ficción. Hoy ya no lo es, y en mi despacho hemos empezado a ver los primeros expedientes que lo confirman. La inteligencia artificial ha dado al fraude empresarial un salto cualitativo que obliga a repensar, desde cero, cómo protegemos algo tan aparentemente sencillo como una llamada de teléfono.
El mecanismo se conoce como vishing, phishing por voz, y su versión más avanzada usa modelos de clonación de voz entrenados con apenas unos segundos de audio público. Un vídeo corporativo, una intervención en un congreso, incluso una nota de voz filtrada bastan para construir una réplica convincente. El resultado es una llamada que suena exactamente a su jefe, a su proveedor o a su banco, pidiendo con normalidad una transferencia urgente antes de que termine el día.
Lo preocupante, desde mi punto de vista de abogado que ha llevado litigios sobre fraude corporativo, no es solo la tecnología, sino el momento en el que se produce. En verano, con las plantillas reducidas y sustituciones que no conocen bien los protocolos internos, cualquier eslabón se debilita. Un empleado de guardia, solo, sin poder consultar rápidamente a un compañero, recibe una llamada que parece perfectamente legítima. La presión de la urgencia hace el resto.
Conviene entender también algo relevante en el terreno legal: cuando una empresa sufre este tipo de fraude, no siempre el análisis se limita a perseguir al estafador, muchas veces imposible de identificar. También hay que revisar si existían protocolos internos de verificación adecuados, porque de ello puede depender la responsabilidad frente a aseguradoras, socios o incluso frente a la propia junta directiva si se demuestra negligencia en los controles internos.
Dicho esto, la buena noticia es que este fraude, pese a su sofisticación tecnológica, se combate con medidas sorprendentemente simples y baratas. Van aquí las que recomiendo implantar antes de que llegue agosto, no después.
Primero, establezca una regla innegociable: ninguna instrucción de pago urgente se ejecuta solo con una llamada, por convincente que suene. Debe existir siempre una segunda verificación por un canal distinto, un correo a la dirección habitual, un mensaje al número de siempre, o mejor aún, una llamada de vuelta al número que ya consta en la agenda de la empresa, nunca al que facilita quien llama.
Segundo, defina una «palabra de seguridad» interna para operaciones sensibles, especialmente durante los periodos de sustituciones vacacionales. Suena artesanal, casi anticuado, pero es extraordinariamente eficaz frente a una tecnología que, por ahora, no puede adivinar una clave pactada de antemano.
Tercero, límite claro y conocido por todos: ninguna transferencia por encima de un determinado importe se autoriza sin la aprobación de una segunda persona, sin excepciones, ni siquiera si quien llama dice ser el propio director general con mucha prisa. La excepción es, precisamente, la puerta por la que entra el fraude.
Cuarto, forme a quien queda de guardia en verano, no solo al equipo habitual. La mayoría de los protocolos de seguridad se diseñan pensando en la plantilla completa y se olvidan de septiembre, junio o agosto, que son justamente los meses en los que los atacantes concentran su actividad porque saben que hay menos filtros.
Quinto, revise la exposición pública de las voces de sus directivos. No se trata de dejar de aparecer en medios o en congresos, sino de ser consciente de que ese material puede usarse en su contra y de reforzar, en paralelo, los protocolos internos.
Sexto, si detecta un intento de este tipo, documente y denuncie de inmediato, aunque no haya llegado a producirse el pago. Esa denuncia temprana no solo ayuda a las autoridades a rastrear patrones, también puede ser clave a la hora de reclamar responsabilidades o coberturas de seguro más adelante.
No es, como suele decirse, un problema tecnológico. Es un problema de hábitos y de protocolos que muchas empresas todavía tratan como un trámite burocrático. La inteligencia artificial ha subido el nivel de sofisticación del engaño, pero no ha cambiado la naturaleza del fraude: sigue dependiendo de la urgencia, de la confianza y de la falta de una segunda verificación. Blindar esos tres puntos sigue siendo, hoy como siempre, la defensa más sólida que existe.
Como abogado, insisto siempre a mis clientes en un último matiz que suele sorprender: la póliza de ciberseguro no cubre automáticamente cualquier fraude, y muchas aseguradoras exigen acreditar que existían protocolos mínimos de verificación en el momento del ataque. Es decir, la prevención no solo evita el disgusto inmediato, sino que también condiciona directamente si la empresa podrá o no resarcirse después. Revisar hoy esa póliza, y ajustar los protocolos internos a lo que realmente exige, puede ahorrar mañana una discusión mucho más costosa que la propia pérdida económica del fraude.
La entrada La voz de tu jefe puede ser mentira: Así ataca el phishing con inteligencia artificial a las empresas se publicó primero en Lawyerpress NEWS.