El deepfake ya es un gasto operativo: cómo una pyme pierde control financiero cuando la voz del CEO deja de ser prueba
La narrativa típica del fraude corporativo solía ser lineal: un correo falso, una cuenta bancaria nueva, un empleado distraído y un pago que no debía salir. La tecnología de deepfakes rompió ese guion y lo reemplazó por algo más caro de defender, porque ataca donde más valor concentra una organización: la autoridad.
Los datos ya describen una transición de “riesgo emergente” a “fuga de caja recurrente”. En 2025, el fraude con deepfakes drenó 1.1 mil millones de dólares de cuentas corporativas en Estados Unidos, triplicando los 360 millones de 2024. En paralelo, el volumen de deepfakes pasó de 500,000 en 2023 a más de ocho millones en 2025, y el ritmo de ataques ya se mide en frecuencia diaria. Aun así, la preparación organizacional es baja: solo 32% de ejecutivos cree estar listo para gestionar un incidente, y 61% declara no tener protocolos para abordar este riesgo.
Para una pyme, esto no es un tema de “gobernanza sofisticada” ni de comités. Es un problema de continuidad: cuando una empresa no puede distinguir una orden real de una simulada, su sistema de pagos se vuelve una vulnerabilidad de margen.
La mecánica del golpe: el deepfake convierte la urgencia en autorización
Los casos documentados muestran el patrón con precisión. En 2024, un empleado transfirió 25 millones de dólares tras una videollamada con supuesta alta dirección, que luego resultó ser una clonación. En el caso Arup, la pérdida fue de 25.6 millones por una videoconferencia deepfake. En 2025, se reportó un ataque donde un gerente financiero recibió un mensaje de voz clonado que sonaba como el CEO y luego un correo perfectamente redactado solicitando una transacción sensible, explotando detalles de estilo y hábitos.
Lo relevante para una pyme no es el monto puntual, sino la estructura de persuasión.
1) El deepfake no “hackea” sistemas, hackea procesos humanos. La videollamada o el audio son el equivalente moderno del “pásalo por favor, es urgente”. En organizaciones con controles blandos, la urgencia reemplaza a la verificación.
2) El ataque ya es multicanal. Foto en mensajería, llamada en Teams, correo formal, y a veces presión temporal. Esa combinación crea una sensación de “confirmación cruzada” falsa. Cuando el atacante simula varias fuentes, la víctima cree que validó.
3) Se dirige al punto donde la empresa convierte confianza en dinero: tesorería. No hace falta penetrar un ERP si el proceso permite que una instrucción de pago salga por “autoridad percibida”.
Puesto en términos financieros simples, el deepfake es un impuesto sobre la liquidez: aumenta la probabilidad de que una salida de caja ocurra sin contraprestación real. Y ese tipo de fuga no se recupera con marketing ni con más ventas; se recupera con disciplina de controles o con capital externo.
El costo real en pymes: no es el fraude, es el rediseño del control interno
Una pyme suele pensar en ciberseguridad como un gasto discrecional hasta que aparece un incidente. El deepfake obliga a tratarlo como costo estructural, porque eleva el costo esperado de cada excepción en pagos.
La métrica clave es el valor esperado de pérdida, que no requiere matemática sofisticada: probabilidad de incidente por impacto promedio.
Los datos de la industria marcan dirección, aunque no permiten fijar la probabilidad exacta para cada empresa. Sí permiten afirmar que la frecuencia sube con fuerza: al menos siete ataques al día, incidentes verificados por miles por trimestre, y un crecimiento que varios trackers describen como explosivo. En ese entorno, una pyme con procesos informales tiene dos multiplicadores de riesgo.
- Concentración de autoridad. En pymes, un CEO o un CFO suele aprobar pagos, cambios de cuenta y excepciones. Si esa identidad se clona, se clona el “sello” de la empresa.
- Tolerancia operativa a las excepciones. Las pymes ganan velocidad con atajos: pagos por WhatsApp, aprobaciones por audio, cambios de cuenta confirmados por llamada. El deepfake convierte esa velocidad en vector de pérdida.
El efecto secundario es igual de caro: parálisis operativa. Si la empresa reacciona tarde, congela pagos, frena compras, compromete relaciones con proveedores y puede incurrir en penalidades. El fraude es la salida de caja; el daño operativo es la compresión de margen por ineficiencia y urgencias.
La lectura correcta para dirección general es esta: la defensa no consiste en “detectar deepfakes” como si fuera un antivirus, sino en hacer que la autorización de pagos no dependa de un canal falsificable. La voz y el video ya son falsificables a costo bajo.
Protocolos que sí cambian el número: separar autoridad de ejecución
Los datos muestran un vacío claro: 61% sin protocolos para el riesgo deepfake y 80% sin protocolos específicos de respuesta. Eso es una invitación a pérdidas, porque el atacante apuesta a que el primer incidente encuentre a la empresa improvisando.
En una pyme, el objetivo no es burocratizar, es diseñar un sistema donde el fraude necesite romper varias piezas a la vez. Tres decisiones prácticas producen impacto directo en el control de caja.
1) Umbrales de pago con doble control real, no nominal.
Doble control significa dos personas y dos canales distintos, con evidencia. Si una transferencia supera un umbral, la aprobación no puede darse por audio, videollamada ni mensajería. Debe existir un segundo factor operativo: un flujo en banca empresarial con permisos separados, o una confirmación por canal previamente acordado y registrado.
2) Cuentas bancarias de proveedores con “periodo de enfriamiento”.
El cambio de cuenta es el punto clásico del fraude. La regla financieramente sensata es simple: cambios de cuenta no aplican el mismo día para pagos grandes. Se registra el cambio, se valida por un canal no improvisado y se ejecuta después de un periodo mínimo. Esto reduce el valor del ataque de urgencia, que es su principal palanca.
3) Proceso de excepciones con trazabilidad.
El deepfake prospera en la excepción: “hazlo rápido”, “es confidencial”, “no lo escales”. Una pyme necesita el equivalente a un “cierre contable” para pagos urgentes: cualquier excepción exige registro, motivo y evidencia. No para castigar, sino para que el equipo sepa que la excepción es un evento auditado.
Estas medidas no requieren presupuestos gigantes. Requieren aceptar una idea incómoda: la confianza interna ya no es evidencia. En 2025, el fraude por clonación de voz creció 680% en un año, y el vishing habilitado por IA subió más de 1,600% en un periodo reportado. En ese contexto, proteger caja implica diseñar fricción inteligente.
El ángulo que el directorio suele ignorar: el deepfake pega en flujo, no en reputación
El titular mediático suele enfocarse en reputación o en “riesgo de imagen del CEO”. Para una pyme, el golpe material ocurre antes: en la tesorería diaria.
Cuando una empresa sufre una transferencia fraudulenta, no pierde solo dinero. Pierde opciones.
- Pierde poder de negociación con proveedores si se queda sin liquidez en el momento equivocado.
- Pierde margen si debe financiarse caro para cubrir un bache de caja.
- Pierde capacidad de inversión si redirige presupuesto a tapar el agujero.
En empresas financiadas por sus propios clientes, el flujo es su oxígeno. Un incidente de fraude, incluso de menor escala que los casos emblemáticos, puede forzar descuentos agresivos para generar caja rápida, alterar políticas de cobro, o postergar compras críticas. Eso se traduce en deterioro de servicio, rotación de clientes y caída de ingresos futuros. El ataque se paga dos veces: primero como pérdida puntual, después como erosión operativa.
Por eso el debate “la junta no está lista para la era de la IA” aterriza en pymes como una instrucción concreta: el CEO y el equipo financiero deben acordar una matriz de autorizaciones que sobreviva a la falsificación de identidad.
La estadística de percepción también importa: 31% de líderes cree que los deepfakes no aumentaron su riesgo de fraude. Esa creencia abarata el ataque, porque posterga inversión en controles y mantiene procesos blandos. El atacante no necesita que todos sean vulnerables; necesita que una empresa mantenga la puerta abierta.
La dirección correcta: transformar pagos en un sistema verificable, no en un acto de fe
La respuesta efectiva combina tecnología y proceso, pero el orden importa. Si una pyme compra herramientas sin rediseñar su flujo de autorización, el costo sube y el riesgo se queda. Si rediseña el flujo primero, la tecnología se vuelve multiplicador.
Mi recomendación, estrictamente desde arquitectura financiera, es tratar cada salida de caja como un contrato en miniatura: evidencia, trazabilidad y separación de funciones. La empresa no necesita asumir paranoia, necesita asumir contabilidad.
La normalización del deepfake obliga a un cambio cultural operativo: nadie debe “obedecer” una voz cuando hay dinero de por medio. Se obedece un protocolo. En el mundo descrito por los datos de 2025, donde el volumen de deepfakes ya es masivo y el fraude escala a miles de millones, la pyme que preserve control será la que convierta la autorización de pagos en un sistema repetible.
La caja no se defiende con discursos ni con jerarquía, se defiende con mecanismos que hagan más caro equivocarse que verificar, porque el único financiamiento que mantiene el control de una empresa es el dinero del cliente cobrado con margen y protegido con procesos.
