Suena el teléfono y es tu jefe. La voz es inconfundible, con el mismo tono y la misma forma de hablar de siempre. Te pide un favor: una transferencia urgente para cerrar un nuevo contrato con un proveedor o el envío de información confidencial de un cliente. Todo parece normal y reaccionas de forma automática. Decir que no a tu director general no es sencillo, así que empiezas a actuar.
Pero ¿y si no es realmente tu jefe quien está al otro lado de la línea? ¿Y si cada palabra y cada matiz de la voz han sido clonados con precisión por un ciberdelincuente? En cuestión de segundos, una llamada rutinaria puede convertirse en un error muy costoso: dinero perdido, datos comprometidos y consecuencias que van mucho más allá del departamento financiero.
Lo que antes parecía ciencia ficción hoy es una amenaza real para las empresas. Los atacantes han dejado atrás los correos mal redactados para dar paso a estafas mucho más sofisticadas basadas en inteligencia artificial y clonación de voz, marcando una nueva y preocupante evolución del fraude corporativo.
Audita la ciberseguridad de tu empresa
La Inteligencia Artificial (IA) ha irrumpido con fuerza en el mundo empresarial, empujando a organizaciones de todos los tamaños a adoptar nuevas herramientas para mejorar la productividad y reforzar su competitividad. Entre ellas, Microsoft 365 Copilot destaca por integrar capacidades avanzadas de IA directamente en el entorno habitual de Office 365, facilitando su adopción en el día a día.
Sin embargo, en ese impulso por innovar y “no quedarse atrás”, muchas empresas en Madrid y en el resto de España adquieren licencias de Copilot para toda la plantilla sin analizar si realmente todos los empleados las necesitan. El resultado habitual es el llamado shelfware: software de IA que permanece sin uso mientras la empresa sigue pagando por él. Dado el elevado coste de estas licencias, es fundamental invertir con criterio y asegurar un retorno real de la inversión.
Lo que no se mide no se puede mejorar. Por eso, realizar una auditoría de Microsoft 365 Copilot es clave para evaluar el grado de adopción y cuantificar quién está sacando partido real a la herramienta. Este análisis permite tomar decisiones más inteligentes sobre licencias, reducir costes y aumentar la eficiencia global del negocio.
La realidad del desperdicio en licencias de IA
Comprar licencias en bloque suele parecer una decisión cómoda para el departamento de IT, ya que simplifica la gestión y la contratación. No obstante, este enfoque ignora un factor crítico: no todos los puestos requieren las funcionalidades avanzadas que ofrece Copilot.
El desperdicio de licencias de IA aparece cuando las herramientas se quedan inactivas en los escritorios de los empleados. Por ejemplo, un perfil administrativo puede no necesitar funciones de análisis avanzado, mientras que un técnico de campo apenas utilizará aplicaciones de escritorio con IA integrada.
Pagar por licencias que no se usan supone una fuga constante de presupuesto. Identificar estas ineficiencias es esencial para proteger la cuenta de resultados y redirigir esos recursos hacia iniciativas de mayor valor estratégico para la empresa.
Análisis de los informes de actividad de usuarios
Microsoft pone a disposición de las empresas herramientas integradas para analizar el uso real de Copilot. El punto de partida es el centro de administración de Microsoft 365, desde donde se pueden generar informes de actividad en distintos periodos de tiempo.
Estos informes permiten visualizar métricas como usuarios habilitados, usuarios activos, tasas de adopción y tendencias de uso. Con esta información es sencillo detectar empleados que nunca han utilizado Copilot o cuyo uso es tan limitado que no justifica el coste de la licencia.
Este seguimiento del uso del software facilita decisiones basadas en datos, diferenciando claramente entre usuarios intensivos y usuarios ocasionales o inactivos. Además, abre la puerta a conversaciones con responsables de área para entender por qué determinados equipos no están utilizando la herramienta.
Estrategias para optimizar el presupuesto de IT
Una vez detectado el desperdicio, llega el momento de actuar. El primer paso suele ser recuperar licencias de usuarios inactivos y reasignarlas a empleados que realmente las necesitan. Este simple ajuste puede reducir de forma notable el gasto recurrente en suscripciones.
Otra buena práctica es establecer un proceso formal de solicitud de licencias de Copilot. De este modo, los empleados deben justificar su necesidad, lo que introduce control y responsabilidad en el gasto tecnológico.
La optimización del presupuesto de IT no es un ejercicio puntual, sino un proceso continuo. Revisar estos indicadores de forma mensual o trimestral ayuda a mantener el gasto en software bajo control y alineado con las necesidades reales del negocio.
Impulsar la adopción mediante formación
Un bajo uso de las herramientas de IA no siempre se debe a falta de interés. En muchos casos, los empleados no las utilizan porque no saben cómo hacerlo o no han recibido la formación adecuada. La falta de capacitación genera frustración y reduce la adopción.
Por ello, recortar licencias no es suficiente. También es necesario invertir en formación. Una buena práctica es evaluar el nivel de conocimiento de los empleados sobre Copilot y ofrecer recursos formativos adaptados a su trabajo diario, como tutoriales prácticos o sesiones de formación específicas.
Algunas acciones para mejorar la adopción pueden ser:
- Sesiones internas tipo lunch & learn para mostrar funcionalidades clave
- Compartir casos de éxito de usuarios avanzados dentro de la empresa
- Crear una biblioteca de vídeos cortos con trucos y usos habituales
- Nombrar “responsables de Copilot” en cada departamento que apoyen al resto
Con una formación adecuada, lo que antes era un gasto infrautilizado puede convertirse en un verdadero motor de productividad.
Establecer una política de gobierno del uso de IA
Otra forma eficaz de reducir el desperdicio de licencias es definir una política clara de gobierno del uso de herramientas de IA. Esta política debe establecer quién puede acceder a Copilot, bajo qué criterios y con qué revisiones periódicas.
Por ejemplo, ciertos perfiles como analistas de datos, responsables financieros o equipos de marketing pueden tener acceso automático, mientras que otros roles requieren aprobación de su responsable. Esto evita la sensación de “barra libre” que suele acabar en licencias sin uso.
Comunicar esta política de forma transparente ayuda a crear una cultura de responsabilidad en el uso de los recursos tecnológicos de la empresa.
Prepararse con antelación para la renovación
El peor momento para revisar el uso de Copilot es el día antes de la renovación del contrato. Lo recomendable es realizar auditorías con al menos 90 días de antelación, lo que permite ajustar el número de licencias y renegociar condiciones.
Contar con datos reales de uso otorga una posición de ventaja en las negociaciones con el proveedor, evitando comprometerse a otro año de pago por licencias que no aportan valor.
¿Quieres que te ayudemos en tu proceso de transformación digital?
La importancia de una gestión inteligente
La gestión de los costes de software moderno exige atención constante y decisiones basadas en datos, especialmente en un contexto dominado por modelos de suscripción. Dejar que las licencias se renueven sin control ya no es una opción.
Las auditorías periódicas de Microsoft 365 Copilot protegen el presupuesto de IT y aseguran que la inversión tecnológica esté alineada con el uso real y los objetivos del negocio.
Tome el control de su estrategia de licencias. Analice los datos, cuestione el gasto y asegúrese de que cada euro invertido en tecnología contribuye al crecimiento de su empresa.
¿Está preparado para optimizar el gasto en herramientas de IA? En Libertia IT ayudamos a empresas de Madrid a auditar y optimizar el uso de Microsoft 365 Copilot dentro de sus servicios de mantenimiento informático. Contacte con nosotros y solicite una consultoría.
Cómo las estafas con clonación de voz mediante IA están cambiando el panorama de amenazas
Durante años hemos aprendido a identificar correos sospechosos revisando dominios mal escritos, errores gramaticales o archivos adjuntos inesperados. Sin embargo, no hemos entrenado el oído para desconfiar de voces familiares, y ahí es donde estas estafas encuentran su ventaja.
Los atacantes solo necesitan unos segundos de audio para replicar una voz. Ese material puede obtenerse fácilmente de entrevistas, comunicados de prensa, presentaciones públicas o incluso redes sociales. Con esas muestras, utilizan herramientas de IA —cada vez más accesibles— para generar modelos capaces de decir cualquier cosa que el atacante escriba.
La barrera de entrada es sorprendentemente baja. No hace falta ser un experto técnico para suplantar al CEO de una empresa; basta con una grabación y un guion bien diseñado. Esto convierte a cualquier organización, también a las pymes de Madrid, en un objetivo potencial.
La evolución del fraude por suplantación empresarial (BEC)
Tradicionalmente, el Business Email Compromise (BEC) se basaba en comprometer cuentas de correo legítimas mediante phishing o en la suplantación de dominios para engañar a empleados y conseguir transferencias o información sensible. Al tratarse de ataques basados en texto, podían mitigarse con filtros de correo y sistemas antispam cada vez más eficaces.
La clonación de voz, en cambio, baja la guardia del empleado al añadir urgencia y un nivel de confianza que el correo electrónico no puede igualar. Mientras que un email permite comprobar cabeceras o direcciones IP, una llamada con la voz “real” del jefe, aparentemente alterada o bajo presión, activa el instinto de ayudar de inmediato.
El “vishing” o phishing por voz utiliza la IA para saltarse muchas de las barreras técnicas diseñadas para el correo electrónico e incluso para algunos sistemas de verificación telefónica. El ataque va directo al factor humano, creando situaciones de estrés en las que la víctima siente que debe actuar rápido.
¿Por qué estas estafas funcionan tan bien?
La clonación de voz tiene éxito porque explota las jerarquías y las normas sociales dentro de la empresa. La mayoría de los empleados están acostumbrados a obedecer a la dirección y pocos se sienten con autoridad para cuestionar una petición directa de un alto cargo.
Los atacantes aprovechan este comportamiento y suelen llamar antes de fines de semana o festivos, cuando es más difícil verificar la solicitud. Además, la tecnología es capaz de replicar emociones como enfado, urgencia o cansancio, lo que desactiva el pensamiento racional y favorece decisiones impulsivas.
Dificultades para detectar deepfakes de audio
Detectar una voz falsa es mucho más complejo que identificar un correo fraudulento. Existen pocas herramientas capaces de analizar deepfakes de audio en tiempo real, y el oído humano no es fiable, ya que el cerebro tiende a completar la información para que resulte coherente.
Aun así, pueden aparecer algunas señales: una voz ligeramente robótica, artefactos digitales al pronunciar palabras complejas, patrones de respiración extraños o ruidos de fondo poco habituales. También pueden fallar detalles personales, como la forma concreta de saludar de una persona.
Confiar solo en la detección humana no es una estrategia sólida. La tecnología seguirá mejorando y eliminará muchas de estas pistas. Por eso, la clave está en los procedimientos, no en el oído.
Por qué la concienciación en ciberseguridad debe evolucionar
Muchos programas de formación corporativa siguen centrados en contraseñas y enlaces sospechosos. Hoy en día, la concienciación en ciberseguridad debe incluir amenazas emergentes basadas en IA. Los empleados deben saber que el identificador de llamadas puede falsificarse y que una voz conocida ya no garantiza la identidad.
La formación moderna en seguridad informática debe incorporar simulaciones de ataques de vishing y políticas claras sobre cómo actuar bajo presión. Estas formaciones deberían ser obligatorias para cualquier empleado con acceso a información sensible: finanzas, IT, recursos humanos, asistentes de dirección y perfiles directivos.
Implantar protocolos de verificación
La mejor defensa frente a la clonación de voz es un protocolo de verificación estricto. Aplica un enfoque de “confianza cero” para cualquier solicitud telefónica relacionada con dinero o datos. Si llega una petición por teléfono, debe verificarse siempre por un segundo canal.
Por ejemplo, si el CEO solicita una transferencia urgente, el empleado debe colgar y devolver la llamada a un número interno conocido o confirmar la petición mediante una herramienta corporativa segura como Teams o Slack. Algunas empresas incluso utilizan frases de verificación o “palabras clave” conocidas solo por determinadas personas. Si el interlocutor no puede responder correctamente, la solicitud se rechaza.
El futuro de la verificación de identidad
Entramos en una etapa en la que la identidad digital es cada vez más difusa. A medida que evolucionen estas estafas, veremos un mayor énfasis en verificaciones presenciales para operaciones críticas y en el uso de firmas criptográficas incluso para comunicaciones de voz.
Hasta que la tecnología se adapte, un proceso de verificación robusto es la mejor protección. Reducir la velocidad de aprobación de transacciones es clave, ya que los estafadores dependen de la urgencia y el pánico. Introducir pausas deliberadas y comprobaciones rompe su estrategia.
¿Quieres que te ayudemos en tu proceso de transformación digital?
Protege tu organización frente a amenazas sintéticas
El riesgo de los deepfakes va más allá de la pérdida económica. Puede provocar daños reputacionales, impacto en la valoración de la empresa e incluso responsabilidades legales. Una grabación falsa de un CEO diciendo algo comprometedor puede difundirse rápidamente antes de que la empresa pueda demostrar que es un montaje.
Las organizaciones necesitan un plan de comunicación de crisis que contemple específicamente los deepfakes. El fraude por voz es solo el principio: con la evolución de la IA, es probable que aparezcan deepfakes de vídeo en tiempo real. Esperar a que ocurra un incidente significa llegar tarde.
¿Cuenta tu empresa con los protocolos adecuados para frenar un ataque de este tipo? En Libertia IT ayudamos a organizaciones de Madrid a evaluar sus vulnerabilidades y a implantar procesos de verificación resilientes, alineados con un enfoque profesional de mantenimiento informático. Contacta con nosotros y protege tus comunicaciones frente a la nueva generación de fraude digital.
