El Caso ARUP: La nueva estafa mediante Deepfake de IA

Mar 9, 2026 | Penal

La tecnología de Inteligencia Artificial (IA) ha dejado de ser una promesa de futuro para convertirse en una herramienta de doble filo en el presente. El caso de la multinacional británica ARUP ha encendido todas las alarmas en los departamentos legales y de compliance a nivel mundial, tras confirmarse una estafa de 25 millones de dólares (aproximadamente 200 millones de dólares de Hong Kong) ejecutada mediante un ataque de deepfake hiperrealista.

 

¿Qué es un deepfake?

Un deepfake es un contenido multimedia (video, imagen o audio) que ha sido manipulado o generado desde cero mediante algoritmos de Inteligencia Artificial para que parezca real. El término proviene de la combinación de Deep Learning (aprendizaje profundo) y Fake (falso).

A diferencia de los fotomontajes tradicionales, el deepfake utiliza redes neuronales que aprenden los rasgos, gestos y voz de una persona para imitarlos con una precisión asombrosa.

La mayoría de los deepfakes se crean utilizando una arquitectura llamada GAN (Redes Generativas Adversariales). Este proceso es como un duelo entre dos sistemas de Inteligencia Artificial:

El Generador: Intenta crear una imagen o video falso que sea lo más convincente posible.

El Discriminador: Analiza ese contenido e intenta detectar si es real o artificial.

Ambos «entrenan» juntos: el generador mejora cada vez que el discriminador lo descubre, hasta que el resultado es tan perfecto que el discriminador (y el ojo humano) ya no puede notar la diferencia.

Tipos comunes de Deepfakes serían los siguientes:

Intercambio de rostros (Face Swapping): Reemplazar la cara de una persona por la de otra en un video existente.

Sincronización labial (Lip Sync): Manipular la boca de alguien en un video para que parezca que está diciendo algo que nunca dijo.

Clonación de voz: Crear un archivo de audio que imita perfectamente el tono, timbre y acento de una persona.

Cuerpos sintéticos: Generar una persona completamente inexistente o colocar la cabeza de alguien en el cuerpo de un actor.

Por tanto, aunque tiene usos positivos (como en el cine para rejuvenecer actores o en la medicina para devolver la voz a personas que la perdieron), los riesgos son considerables:

Desinformación: Creación de videos falsos de políticos para influir en elecciones.

Ciberestafas: El «fraude del CEO», donde se finge la voz o la imagen de un jefe para pedir transferencias urgentes.

Acoso y Pornografía no consentida: El uso de rostros de personas reales en contenido sexual, lo cual es un delito grave.

 

El Modus Operandi en el caso ARUP

A principios de 2024, un empleado del departamento financiero de Arup en Hong Kong recibió un correo electrónico supuestamente del Director Financiero (CFO) de la sede en el Reino Unido, solicitando una «transacción secreta«. Aunque el empleado inicialmente sospechó que se trataba de un intento de phishing, sus dudas se disiparon al ser invitado a una videoconferencia.

En dicha reunión virtual, el empleado vio y escuchó al CFO y a otros colegas de confianza. Sin embargo, todos los participantes —excepto la víctima— eran recreaciones generadas por IA que utilizaban voces e imágenes falsificadas extraídas de grabaciones públicas de la empresa. Siguiendo las instrucciones dadas en la llamada, el trabajador realizó 15 transferencias a cinco cuentas bancarias distintas antes de descubrir el fraude.

 

Implicaciones Jurídicas y Desafíos Legales

Este incidente no fue un ciberataque tradicional basado en brechas de sistemas, sino una ingeniería social mejorada tecnológicamente. Desde una perspectiva jurídica, plantea retos significativos:

Identificación y Autoría: La naturaleza transfronteriza y anónima de la IA dificulta enormemente la persecución penal de los autores.

Responsabilidad Civil y Laboral: El caso abre el debate sobre si una empresa puede derivar responsabilidad a un empleado que actuó bajo una apariencia de legalidad casi perfecta. En la mayoría de jurisdicciones, si el empleado siguió los protocolos existentes y fue engañado por una tecnología que supera la diligencia media, la responsabilidad recaerá sobre la organización por falta de medidas preventivas adecuadas.

Insuficiencia de los marcos regulatorios: Los marcos legales actuales a menudo no están adaptados para abordar el secuestro de identidad digital de forma específica y rápida.

 

El Papel del Compliance y la Ciberseguridad

El caso ARUP demuestra que las capas tradicionales de seguridad (firewalls o autenticación de doble factor) pueden ser inútiles si el eslabón humano es manipulado mediante la suplantación de la autoridad. Para los abogados y consultores, las recomendaciones clave son:

Protocolos de Verificación «Fuera de Banda»: Exigir confirmación por una vía distinta (llamada telefónica directa o código preestablecido) antes de ejecutar transferencias de gran cuantía.

Actualización de Políticas de Riesgos: Las empresas deben incluir el riesgo de deepfake en sus matrices de riesgos y en sus programas de formación para empleados financieros.

Seguros de Ciberriesgo: Revisar si las pólizas actuales cubren el fraude por suplantación de identidad mediante IA, ya que muchas cláusulas de «fraude informático» requieren una intrusión técnica en los sistemas que aquí no se produjo.

 

¿Cómo detectar un Deepfake?

A medida que la tecnología mejora, es más difícil detectarlos, pero aún existen pistas:

Parpadeo poco natural: Las Inteligencia Artificial a veces olvidan hacer que el sujeto parpadee de forma rítmica.

Bordes extraños: Fíjate en la zona donde el rostro se une con el pelo o las orejas; suele haber un ligero desenfoque.

Interior de la boca: Los dientes y la lengua suelen ser difíciles de recrear con nitidez cuando la persona habla.

Sombras e iluminación: A veces la luz en la cara no coincide con la del fondo del video.

 

Conclusión

El caso Arup no es un incidente aislado, sino el inicio de una nueva era de fraude corporativo. La confianza visual y auditiva ya no puede ser el estándar de oro para la seguridad financiera. En el nuevo escenario digital, la verificación rigurosa y la actualización de los protocolos legales internos son la única defensa real frente a la perfección del engaño sintético.

 

Publicado en lawandtrends: El Caso ARUP: La nueva estafa mediante Deepfake de IA | Penal | LawAndTrends

 

 

Si necesita asesoramiento o defensa en cualquier asunto penal, no dude en consultarnos a través de cualquiera de las formas de contacto con #escudolegal https://escudolegal.es/contacto/

 

Entradas Relacionadas

No related posts.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Cookies
Usamos cookies. Si te parece bien, simplemente haz clic en «Aceptar todo». También puedes elegir qué tipo de cookies quieres haciendo clic en «Ajustes». Lee nuestra política de cookies
Ajustes Rechazar todo Aceptar todo
Cookies
Elige qué tipo de cookies aceptar. Tu elección será guardada durante un año. Lee nuestra política de cookies
Guardar Rechazar todo Aceptar todo
Call Now Button