Durante años, el fraude del CEO se apoyó en correos electrónicos que aparentaban proceder de directivos para ordenar pagos urgentes o solicitar información sensible. Sin embargo, la inteligencia artificial ha transformado esta amenaza. Ahora, permite a los ciberdelincuentes crear mensajes mucho más convincentes y difíciles de detectar.
De este modo, la estafa te puede llegar mediante una llamada, una nota de voz o, incluso, una videoconferencia aparentemente real. Los deepfakes están llevando la suplantación de identidad a un nuevo nivel y obliga a las empresas a replantear cómo verifican órdenes y decisiones críticas.

El fraude del CEO consiste en suplantar a una persona con autoridad dentro de la empresa para ordenar una transferencia, aprobar un pago o compartir información sensible. Europol lo vincula al BEC o Business Email Compromise. Se trata de un tipo de fraude en el que se engaña a empleados autorizados para realizar pagos falsos o transferencias no autorizadas.
Los atacantes suelen estudiar previamente la estructura de la organización, identificar a las personas con capacidad para realizar pagos y analizar los canales de comunicación habituales. Con esa información elaboran mensajes creíbles que aprovechan la confianza existente entre empleados y directivos para evitar sospechas.
Aunque inicialmente este fraude se realizaba principalmente mediante correo electrónico, hoy puede utilizar múltiples canales. Los delincuentes recurren a llamadas telefónicas, aplicaciones de mensajería e, incluso, videoconferencias para aumentar la presión y la sensación de legitimidad. Su objetivo es siempre el mismo: conseguir que la víctima actúe con rapidez y sin verificar adecuadamente la solicitud recibida.
Si antes el engaño dependía de un correo bien escrito, ahora puede incluir voz clonada, imagen falsa o una videollamada manipulada. Así, CaixaBank explica que en el fraude del CEO mediante videollamada se puede clonar la voz y suplantar la imagen de un alto directivo para presionar a un empleado.
Esto hace que la estafa sea mucho más peligrosa, porque apela a la confianza visual y auditiva. Si parece tu jefe, habla como tu jefe y pide algo urgente, el margen para dudar se reduce.
Además, los delincuentes ya no necesitan acceder a sistemas complejos para crear estas suplantaciones. En muchos casos, les basta con recopilar vídeos publicados en redes sociales, entrevistas, conferencias o grabaciones corporativas disponibles en internet. Gracias a las herramientas de inteligencia artificial generativa, pueden reproducir voces y rostros con un nivel de realismo que hace difícil distinguir una comunicación legítima de una fraudulenta.
El fraude del CEO se basa en tres factores: autoridad, urgencia y confidencialidad. El atacante suele pedir que no se sigan los procedimientos habituales, que se actúe rápido y que no se consulte con nadie. Por otro lado, los datos de INCIBE muestran que el fraude del CEO fue la tercera consulta más frecuente realizada por empresas a través de la Línea de Ayuda 017 durante 2025, lo que evidencia la relevancia creciente de esta modalidad de estafa.
La clave del engaño está en la psicología humana. Cuando una solicitud parece proceder de un director general, un propietario o un responsable financiero, muchas personas asumen que es legítima. Si además se presenta como una operación urgente o estratégica, la presión por responder rápidamente puede reducir la capacidad de análisis y hacer que se pasen por alto señales de alerta evidentes.
Los ciberdelincuentes conocen perfectamente estas dinámicas y las explotan de forma deliberada. Su objetivo no es vulnerar sistemas tecnológicos complejos, sino provocar un error humano. Por eso, suelen insistir en la discreción, evitar que la víctima consulte con otros compañeros y generar la sensación de que cualquier retraso podría tener consecuencias graves para la empresa. Cuanto mayor es la presión emocional, mayores son las probabilidades de éxito del fraude.
Cuando una orden económica llega fuera del canal habitual, exige máxima urgencia, pide confidencialidad absoluta o modifica datos bancarios de última hora, ya nos tiene que hacer sospechar. También cuando el mensaje evita los controles internos con frases como “hazlo ya”, “no comentes nada” o “luego te explico”.
Otra señal frecuente es la existencia de circunstancias poco habituales. Por ejemplo, la solicitud de pago se produce fuera del horario laboral, una transferencia internacional inesperada o una petición que no se ajusta a los procedimientos establecidos por la empresa. Los ciberdelincuentes suelen aprovechar momentos de estrés, viajes de directivos o las vacaciones para aumentar las probabilidades de éxito.
En el caso de los deepfakes, también es aconsejable desconfiar de comportamientos extraños durante las llamadas o videoconferencias. Fíjate en si se producen pequeños retrasos o lags entre la voz y la imagen, expresiones faciales poco naturales, problemas recurrentes de calidad o una insistencia excesiva en evitar otras formas de verificación. Ante cualquier duda, la mejor práctica sigue siendo confirmar la solicitud mediante un canal alternativo antes de ejecutar cualquier operación sensible, por ejemplo, llamar a la persona por teléfono.

La protección corporativa no puede depender solo de la intuición. Toda empresa debería aplicar la doble validación para pagos importantes y confirmar cambios de cuenta bancaria por un canal alternativo. También se debe reducir el número de personas que pueden autorizar transferencias y formar al equipo financiero y administrativo.
Por otro lado, es clave crear una cultura donde preguntar no se vea como desconfianza, sino como protección. En una estafa con deepfake, la duda puede ahorrar miles de euros.
Los procedimientos internos deben diseñarse bajo la premisa de que cualquier identidad puede ser suplantada. Que una petición proceda aparentemente del director general, de un proveedor habitual o de un cliente de confianza no debería eximir de las verificaciones establecidas. Cuanto más importante sea la operación, mayor debe ser el nivel de comprobación exigido.
La formación continua también desempeña un papel fundamental. Los empleados necesitan conocer cómo funcionan estas técnicas de ingeniería social, identificar señales de alerta y saber cómo actuar ante situaciones sospechosas. La combinación de protocolos claros, tecnología de seguridad y personal concienciado sigue siendo la mejor defensa frente a una amenaza que evoluciona al mismo ritmo que la inteligencia artificial.
Los deepfakes están llevando el fraude del CEO a un nuevo nivel de sofisticación. Frente a esta amenaza, la mejor defensa sigue siendo combinar protocolos claros, formación y verificación de cualquier operación sensible.
Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.