Press ESC to close

Llamadas con voces clonadas: cómo verificar en segundos y blindar a tu familia y empresa

Por qué te llaman “tú mismo” y qué hacer al primer segundo

Las voces clonadas por IA han pasado de ser curiosidades en redes a convertirse en una vía real de fraude telefónico. Hoy cualquiera puede grabar unos segundos de tu voz de un audio público, una historia en redes o un buzón de voz, y con eso generar un clon convincente que suena muy parecido a ti o a alguien de tu confianza. Con esa voz, presionan para que compartas un código, un número de tarjeta, un archivo o para que autorices una transferencia “urgente”.

El objetivo de esta guía es darte protocolos inmediatos y herramientas simples para verificar llamadas en segundos, cortar el fraude sin dramas y preparar a tu familia y a tu empresa para que estas tácticas no funcionen.

Qué está pasando y por qué ahora

Clonar voces es más fácil que nunca por tres razones:

  • Modelos accesibles: proliferan herramientas que sintetizan voz a partir de pocos segundos de audio.
  • Audio abundante: subimos notas de voz, directos, podcasts y videos a diario. Para un atacante, conseguir muestras no cuesta.
  • Urgencia como táctica: el guion repite patrones: “me robaron el móvil”, “estoy en el hospital”, “el banco bloquea mi cuenta”, “el proveedor solo espera 10 minutos”. La voz creíble + prisa = error.

No necesitas ser experto en audio. Necesitas rutinas muy claras que funcionen bajo presión. A eso vamos.

Señales que delatan a una voz clonada

Ninguna señal aislada es definitiva, pero varias juntas suben la probabilidad. Aprende a cazarlas en menos de un minuto:

Lo que escuchas

  • Ritmo raro: pausas o cadencias demasiado uniformes, como si leyera sílabas. La emoción puede sonar “aplanada”.
  • Respiración artificial: sonido limpio aunque parezca estar corriendo o llorando; falta de “aire” real entre frases.
  • Nombres propios impecables: pronuncia apellidos difíciles sin dudar. La IA acierta con fonemas poco habituales.
  • Repetición segura: si le pides que repita rápido una palabra compleja, la segunda versión suena idéntica a la primera.
  • Ruido de fondo estático: siempre el mismo zumbido, sin variación al moverse o cambiar de posición.

Lo que te piden

  • Urgencia y secreto: “solo cuentas tú y yo”, “no hay tiempo para otra llamada”, “no le digas a nadie”.
  • Saltarse procesos: “paga ahora y mañana hacemos el papel”. “Dame el código que te llega al móvil”.
  • Cambiar de canal: te mandan a una web o app nueva “porque la de siempre falla”.

Lo que no cuadra

  • Horario y contexto: llama en horas en que esa persona no lo haría o desde un país donde no está.
  • Número enmascarado: aparenta ser un contacto guardado, pero la llamada entra como “desconocido” cuando revisas detalles.
  • Guion en bucle: no responde a preguntas abiertas; vuelve a la petición inicial con frases muy parecidas.

Si detectas dos o más señales, detén la conversación y pasa al protocolo de verificación. No discutas ni intentes “pillarle”: verifica por otro canal.

Protocolo exprés para familias y amigos

En casa funciona algo que las empresas a veces olvidan: acuerdos previos, fáciles de recordar, que cierran el paso a la urgencia. Define hoy estos puntos:

1) Palabra de familia

  • Una palabra neutra, no obvia, que no esté en redes ni en fotos. Ejemplo: el apodo del primer profesor de primaria, una frase interna o un objeto de la casa que nadie mencione fuera.
  • Si hay emergencia real, la persona debe decir esa palabra cuando tú se la pidas, pero no la pronuncies tú primero. Si no la sabe, cuelga y verifica por otro canal.

2) Canal de retorno

  • Si te llaman pidiendo dinero o códigos, corta la llamada y devuelve tú la llamada usando el número que ya tienes guardado, o escribe por el chat habitual con una nota de voz nueva.
  • Si el número guardado no responde, espera 5 minutos y vuelve a intentar. La prisa es el arma del atacante.

3) Límite sin debate

  • Acuerden un límite de envío que no cruzan por teléfono nunca: 0 euros. Cualquier pago se confirma en persona o con videollamada planificada.
  • Para familiares que viajan, preparen doble canal: avisos previos con foto o vídeo del día, no solo voz.

4) Señal de coacción

  • Define una segunda palabra que indique que la persona está siendo forzada. Por ejemplo, meter una palabra rara en una frase cotidiana: “¿Dónde pusiste la piedra azul?”.
  • Si la escuchas, cuelga y llama a emergencias. No confrontes por teléfono.

Pégalo en un lugar visible (cerca del teléfono fijo, en la nevera) y practicadlo una vez al mes. La práctica quita el miedo y bloquea el efecto sorpresa.

Protocolo práctico para pymes y equipos

En empresas el fraude más rentable para los atacantes es el “fraude del CEO”. Usan una voz clonada del director o de un cliente clave para pedir pagos “fuera de proceso”. Evítalo con medidas simples y medibles:

1) Política de “no pagos por voz”

  • Incluye en el manual: ningún pago, cambio de cuenta o envío de datos sensibles se autoriza por llamada, mensaje de voz o audio en apps.
  • Requiere verificación por dos canales: email corporativo + chat interno, o ticket en el ERP + firma con MFA.

2) Lista blanca y enfriamiento

  • Lista blanca de cuentas de proveedores: añadir una nueva requiere 2 aprobaciones y verificación en un canal distinto (videollamada agendada).
  • Ventana de enfriamiento: 12–24 horas antes del primer pago a una cuenta nueva. Si es supuestamente urgente, se cancela o se usa otro proceso ya validado.

3) Guion de verificación para llamadas sensibles

  • Si la llamada pide dinero o datos, el receptor lee un guion: “Gracias. Por política, cortamos aquí y validamos por nuestro canal oficial. Le devuelvo la llamada al número registrado o seguimos por el ticket #12345”.
  • Si insiste, cuelga y registra el intento en un canal de seguridad (por ejemplo, un formulario interno o un canal de chat).

4) Señalización visible

  • Carteles en puestos de finanzas, recepción y soporte: No tramitamos pagos ni códigos por llamada. Así quien atiende tiene respaldo para decir “no”.

5) Simulacros breves

  • Mensualmente, un “drill” de 5 minutos: alguien del equipo de seguridad hace una llamada simulada y se evalúa si se siguió el guion. Marca mejoras simples para el mes siguiente.

Cómo verificar en segundos sin tecnología compleja

La mejor verificación es cambiar de canal. Aun así, si debes seguir 30–60 segundos, haz preguntas que rompen el guion sin dar pistas:

  • Acuerdos privados: “¿Cuál fue el apodo del profe de lengua en primaria?” (algo que solo ustedes saben y no esté en redes).
  • Detalles recientes: “¿Qué foto me enviaste ayer al mediodía?” Pide una descripción.
  • Errores intencionados: Di un dato equivocado (“viajas a Sevilla, ¿no?”) si en realidad está en Valencia. Una IA mal asistida asiente; una persona te corrige.
  • Repite rápido: “Di ‘seis sociedades suizas’ tres veces seguidas”. Las voces clonadas tienden a repetir con la misma entonación exacta.

Si hay cualquier duda, cuelga educadamente y verifica tú. Decir “no” rápido es tu mejor defensa.

Herramientas que ayudan sin complicarlo

En el móvil personal

  • Bloqueo de números ocultos y spam: activa el filtro del sistema y del operador. Reduce ruido y aisla intentos.
  • Lista de contactos verificados: usa tonos personalizados y fotos verificadas. Un clon puede suplantar el número, pero cualquier inconsistencia salta a la vista si revisas el historial real de chat o llamadas recientes.
  • Notas de voz breves: si dudas, pide al contacto un audio incluyendo la palabra de familia. Guarda ese audio como referencia.

En la empresa

  • Grabación con aviso legal: en líneas de atención, informa y graba. Las repeticiones calcadas pueden detectarse en revisión.
  • Listas de llamadas seguras: configura tu centralita para mostrar siempre el número real de la agenda corporativa. Evita redirecciones no registradas.
  • Autenticación fuerte para cambios: usa firma con múltiples factores, preferiblemente passkeys o llaves físicas, para autorizar pagos y accesos. Así, aunque la voz convenza, no basta.
  • Etiquetas de confianza en contenido: en material audiovisual oficial, usa metadatos de procedencia (estándares tipo C2PA) para diferenciar lo legítimo de lo manipulado. No resuelve llamadas, pero sí comunicaciones públicas.

Cómo preparar a niños, mayores y cuidadores

Los extremos de edad son objetivo porque tienden a confiar y a reaccionar con miedo. Tu plan:

  • Regla de los dos pasos: ante cualquier “emergencia” telefónica, cuelgan y llaman a dos contactos de confianza. No hacen pagos ni comparten códigos.
  • Tarjeta de bolsillo: con los números de “retorno” y la palabra de familia. Lamínala y pégala a la funda del móvil.
  • Demostración sin sustos: muéstrales un ejemplo de clon de voz en un contexto preparado y explícales que es un truco. Ensayen la respuesta.
  • Recursos locales: enseña cómo llamar a emergencias y a un vecino de confianza si se sienten presionados.

Clientes, bancos y proveedores: cómo hablar para no caer

Muchos fraudes imitan al banco o a un proveedor. Cambia tu forma de interactuar:

  • Banca: no compartas códigos que llegan por SMS o app. Si te llaman “del banco”, cuelga y vuelve a llamar al número de la tarjeta o al de la web oficial. Pide agendar videollamada desde la app del banco.
  • Proveedores: todo cambio de cuenta bancaria se comunica por email firmado digitalmente y se verifica con videollamada agendada. Si el proveedor se molesta, es mala señal.
  • Clientes: ofrece tu playbook público: “Así validamos cambios de pago”. Publicarlo te protege y educa.

Guiones listos para usar

Para colgar con cortesía

“Gracias por avisar. Por nuestra política, no gestionamos pagos ni códigos por llamada. Cuelgo para devolverle la llamada al número registrado y seguir por el canal oficial. Buen día.”

Para pedir verificación sin dar pistas

“Antes de seguir, ¿me repites la palabra que acordamos en familia?”

“¿Qué me dijiste que cenaste ayer?”

“¿Puedes decir tres veces seguido ‘seis sociedades suizas’?”

Para informar a un superior

“He recibido una llamada solicitando pago urgente con cambios de cuenta. He aplicado el protocolo: colgar, registrar e iniciar verificación por canal oficial. Ticket .”

Qué hacer si ya diste datos o pagaste

Respira. Hay un orden de pasos que ayuda a cortar daños:

  • Detén pagos: llama de inmediato a tu banco desde el número oficial y solicita retención o reversión. En transferencias instantáneas, actúa en minutos.
  • Cambia contraseñas: si diste códigos o acceso remoto, cambia claves y revoca sesiones en todos los dispositivos y servicios afectados.
  • Activa alertas: en banca y tarjetas, activa notificaciones por cada cargo.
  • Denuncia: reporta a la policía y a tu organismo nacional de ciberseguridad. En empresas, registra el incidente y notifica a cumplimiento si aplica.
  • Avisa a tu red: informa a familiares y compañeros: “Si os llaman con mi voz pidiendo dinero, es fraude. Usad la palabra de familia”.

Limitaciones de los detectores automáticos y cómo compensarlas

Existen servicios que prometen “detectar deepfakes de voz”. Útiles, pero con falsos positivos y falsos negativos. Además, en una llamada en vivo su margen es menor. Qué funciona mejor:

  • Procesos, no milagros: asume que la voz puede engañarte. El proceso de doble canal y enfriamiento es tu red de seguridad.
  • Autenticación fuerte independiente de la voz: MFA, firmas, listas blancas. La identidad no es solo sonido.
  • Registro de intentos: documenta cada llamada sospechosa. Los patrones ayudan a ajustar filtros y educar al equipo.

Preguntas frecuentes

¿Pueden clonar mi voz con 5 segundos?

Para imitar timbre y acento, a veces sí. Para sostener una conversación natural bajo preguntas imprevistas, suele hacer falta más material y un operador humano detrás. Por eso tus preguntas abiertas y el cambio de canal funcionan.

¿Vale la videollamada como verificación?

Es más fuerte que una llamada, pero no infalible si el atacante usa suplantación de video. La clave es agendar la videollamada por un canal seguro y pedir detalles recientes que solo esa persona conozca.

¿Sirve un “código secreto” por WhatsApp?

Solo si se definió antes y no se ha difundido. No lo envíes por adelantado ni lo digas en voz. Mejor, pídele al otro que lo diga en su audio nuevo.

¿Mi banco puede pedirme códigos por llamada?

Los bancos serios no pedirán códigos que llegan por SMS o app de autenticación. Si ocurre, cuelga y llama tú al número oficial.

Entrenamiento en 20 minutos al mes

No necesitas cursos extensos. Con 20 minutos mensuales puedes mantener fresco el hábito:

  • 5 minutos: repasa las señales de clon de voz.
  • 5 minutos: simula una llamada en pareja o equipo. Practica el guion de colgar con cortesía.
  • 5 minutos: verifica que la palabra de familia y los números de retorno sigan vigentes.
  • 5 minutos: registra mejoras: cartel visible, límites claros, pasos de verificación actualizados.

Para responsables de TI y seguridad

Si gestionas seguridad en una organización, aquí tienes un plan de acción de bajo costo y alto impacto:

1) Mapa de riesgos por función

  • Finanzas: pagos urgentes y cambios de cuenta.
  • RR. HH.: envíos de nóminas, datos personales, cartas de empleo.
  • Soporte: restablecimiento de contraseñas y acceso remoto.

Para cada función, documenta qué no se hace por voz y qué requiere doble canal.

2) Integración con centralita y CRM

  • Muestra el historial real del cliente que llama, no solo el número. Si quien llama dice ser “Marta del proveedor X”, el agente ve si hay interacciones recientes o un ticket abierto.
  • Botón de marcar sospechoso: al pulsarlo, se registra audio, transcripción y metadatos. Sirve para aprendizaje interno y posible denuncia.

3) Verificación de cambios de pago

  • Plantillas en el ERP para cambios de IBAN con campos obligatorios y doble aprobación.
  • Videollamada agendada desde la cuenta corporativa del proveedor, no desde enlaces de terceros.

4) Métricas

  • Tasa de adherencia al guion de verificación en llamadas sensibles.
  • Número de intentos detectados y tiempo de respuesta.
  • Porcentaje de proveedores con cuentas bancarias en lista blanca.

Psicología del fraude: cómo quitan tus frenos

Entender el truco ayuda a desarmarlo:

  • Autoridad: la voz suena a tu jefe o a un médico.
  • Escasez de tiempo: “cierran en 10 minutos”.
  • Reciprocidad emocional: “solo confío en ti”.

Tu respuesta debe neutralizar esos disparadores: tiempo (ventana de enfriamiento), procedimiento (doble canal) y transparencia (carteles y manuales). Si la otra parte es legítima, respetará el proceso. Si no, colgará.

Aspectos legales y privacidad: lo mínimo que debes saber

  • Grabaciones: infórmate sobre la normativa local antes de grabar llamadas. En muchos países, al menos una de las partes debe consentir; en otros, ambas. Si grabas en empresa, anúncialo al inicio.
  • Denuncias: documenta fecha, hora, número llamante y breve transcripción. Aporta audios si la ley lo permite.
  • Datos personales: si el incidente implica exposición de datos, consulta con tu responsable de protección de datos sobre posibles notificaciones obligatorias.

Qué viene después: escenarios a corto plazo

En los próximos meses veremos:

  • Clones más naturales a partir de menos audio y con mejor manejo de emociones simuladas.
  • Verificación de llamadas más extendida por parte de operadores y apps: etiquetas de “número verificado” o “empresa certificada”. Úsalo como señal positiva, nunca como única prueba.
  • Contenido con credenciales de origen en fotos y vídeos oficiales, útil para frenar suplantaciones en comunicaciones públicas.

La estrategia no cambia: procesos simples, repetibles y medibles. Y práctica breve y frecuente.

Checklists para imprimir

Casa

  • Palabra de familia definida y memorizada.
  • Números de retorno guardados y en una tarjeta visible.
  • Regla: 0 pagos por llamada. Siempre cambio de canal.
  • Simulacro mensual de 5 minutos.

Empresa

  • Política escrita de “no pagos por voz”.
  • Doble canal y doble aprobación para cambios de cuenta.
  • Ventana de enfriamiento de 12–24 h.
  • Carteles en finanzas y recepción.
  • Simulacro mensual con registro de métricas.

Historias breves para aprender sin susto

La llamada del “hijo” a las 2:03

Una madre recibe una llamada de madrugada: la voz de su hijo, llorando, pide dinero “para pagar una multa ahora mismo”. Ella recuerda la regla: cuelga, manda un “¿todo bien?” al chat familiar y llama al número guardado. El hijo responde a los 30 segundos: “duermo”. Fin del incidente. Aprendizaje: cambiar de canal corta la urgencia.

Proveedor “de confianza” cambia de IBAN

Una pyme recibe llamada de su contacto habitual con acento y tono idénticos: “Este mes usamos nueva cuenta”. El agente agradece y aplica el guion de verificación. Videollamada agendada desde el dominio corporativo, con cámara abierta y pantalla compartida en el portal de proveedor. Era un intento. Aprendizaje: doble canal + enfriamiento.

Soporte que pide el código

Llamada de “soporte del banco”: “Le paso un código para actualizar la seguridad; léamelo”. El cliente cuelga, llama al número impreso en su tarjeta: “Nunca pedimos eso”. Aprendizaje: códigos de un solo uso no se comparten por voz.

Cómo hablar del tema sin sembrar miedo

El objetivo no es desconfiar de todo, sino normalizar el proceso. Algunas frases útiles:

  • “Para cuidarnos, siempre confirmo por otro canal. Tardo dos minutos y evito errores.”
  • “No es personal: es nuestra política. Si es urgente y legítimo, resistirá una doble verificación.”
  • “Si suena a prisa y secreto, paro. Luego seguimos por el canal oficial.”

Qué no hacer

  • No improvises contraseñas durante la llamada. Todo lo acordado debe ser previo.
  • No cedas al “solo por esta vez”. Las excepciones son el camino del fraude.
  • No compartas audios íntimos o notas de voz sensibles en redes. Piensa que ese material puede alimentar un clon.

Pequeñas mejoras técnicas que suman

  • Verificación de remitente en email (DKIM, SPF, DMARC) para reducir suplantación escrita que suele acompañar llamadas.
  • Autenticación de llamadas del operador si está disponible en tu país: marca de “número verificado”. No es infalible, pero ayuda a filtrar.
  • Gestión de contraseñas con un gestor y MFA para que, aunque “la voz” convenza, no haya acceso sin segundo factor.

Resumen:

  • Los clones de voz por IA son ya una herramienta real de fraude basada en urgencia y confianza.
  • Se detectan por ritmo extraño, respiración artificial, guiones repetitivos y peticiones de saltarse procesos.
  • El remedio principal es cambiar de canal, pedir la palabra acordada y establecer límites: 0 pagos por llamada.
  • En empresas: política escrita de “no pagos por voz”, doble canal, ventana de enfriamiento y simulacros mensuales.
  • Usa tecnología como apoyo (MFA, listas blancas, filtros de spam), no como única defensa.
  • Si ya caíste: detén pagos, cambia claves, activa alertas, denuncia y avisa a tu red.
  • Educa sin alarmar: normaliza el proceso y practica 20 minutos al mes.

Referencias externas:

Berythium

Modelos: gpt-5 + dall-e 2