Deepfakes en Vivo en tu Navegador
Callstrike lanzó una herramienta educativa que demuestra face-swapping en tiempo real directamente en el navegador: cargás una foto de alguien y el sistema intercambia su cara en tiempo real en un video. La idea es conciencia sobre riesgos, pero la misma tecnología que usa es exactamente la que criminales emplean en estafas de video llamadas para suplantar ejecutivos, pedir transferencias y robar dinero. No necesita software, no necesita instalar nada. Está funcionando ahora.
En 30 segundos
- Callstrike tiene una demo educativa que hace deepfakes en tiempo real en el navegador sin instalar nada
- El face-swapping funciona con redes neuronales GAN — necesita solo una o dos imágenes de la cara objetivo
- Criminales ya usan esta tecnología en Zoom y Teams para suplantar ejecutivos y autorizar transferencias de dinero (caso: GhostCall)
- Se detectan por parpadeo irregular, desincronización labios-audio, tonos de piel desparejados y bordes pixelados
- La defensa real no es técnica sino operacional: verificación por canal alternativo, desconfianza de instrucciones urgentes, preguntas que solo la persona conocería
Qué es un deepfake en tiempo real: la tecnología detrás del intercambio facial
Un deepfake en tiempo real es una manipulación de video generada por IA que reemplaza la cara de una persona por otra mientras el video se está transmitiendo. La diferencia con los deepfakes tradicionales (que tardaban horas o días en procesarse) es que acá el intercambio ocurre instantáneamente: es como aplicar un filtro, pero en lugar de emborronarte los ojos o ponerte orejas de gato, te quita la cara y te pone la de otra persona.
Detrás está la tecnología GAN (Generative Adversarial Network) — dos redes neuronales que compiten, una generando caras falsas y otra intentando detectarlas. Cuando la generadora gana lo suficiente, produce caras sintéticas tan realistas que el ojo humano (y hasta los modelos de detección básicos) no las detectan. Lo loco es que para entrenar esto hace 5 años necesitabas miles de imágenes de la persona objetivo. Hoy, con modelos como Inswapper o GFPGAN, necesitás literalmente una o dos fotos. Una sola foto de LinkedIn alcanza.
El experimento educativo de Callstrike: ver deepfakes en acción
Ponele que entras a callstrike.ai, cargás una foto tuya y hacés clic. En 5 segundos estás viendo un video donde sos otra persona. Se mueve como vos, pero la cara no es la tuya. Eso que acabás de ver es exactamente lo que un criminal vería si te quisiera estafar. Callstrike lo hizo público a propósito: no como herramienta para crear deepfakes malignos, sino para que la gente entienda qué significa “mi cara en un video falso” en lugar de imaginárselo.
La plataforma también tiene un simulador de vishing por IA (llamadas telefónicas falsas con voz sintética) y testing de defensa en Zoom, Teams y Meet. Es educación, pero la herramienta de demostración es el arma misma. Eso sí, es gratis, está en el navegador y cualquiera puede experimentar el riesgo sin tener que confiar en lo que escuchó de un podcast.
Cómo se crean deepfakes en tiempo real: el proceso técnico simplificado
Hay tres fases. Primero, entrenamiento: el modelo aprende a reconocer las características de la cara objetivo (ojo izquierdo, forma de pómulos, estructura ósea, textura de piel). Si el creador del deepfake solo tiene una foto, usa transfer learning — le muestra el patrón general de caras humanas y luego lo ajusta con esa una imagen. Segundo, generación: el modelo aprende a mapear la cara de A a la cara de B en cualquier pose o ángulo, en tiempo real. Tercero, síntesis: la salida se mezcla con el video original (el fondo, la ropa, la posición del cuerpo) y se aplican técnicas de blending para que no se noten las costuras. Todo junto toma 40 a 90 segundos en una máquina estándar. En una RTX 3090 (como la que tiene Callstrike), menos.
Los modelos de código abierto (Inswapper, deepfacelab, faceswap) son gratis. Están en GitHub. Un desarrollador de nivel junior puede armarlos en una tarde. Eso es lo que asusta — no que Callstrike lo hizo, sino que ya hace 3 años cualquiera con Python podría hacerlo.
Señales para detectar un deepfake: parpadeos, piel y labios desincronizados
Según el análisis de Callstrike, hay cinco indicadores técnicos claros de un deepfake de video (aunque algunas herramientas modernas ya están mejorando en esto):
- Parpadeo irregular o ausente: La IA lucha por generar parpadeos naturales. Una persona parpadea cada 3-4 segundos, los deepfakes parpadean cada 5-10 segundos o saltean ciclos completos. Si mirás un video y alguien no parpadea durante 15 segundos, tenés un red flag.
- Inconsistencias de textura de piel: La cara generada no tiene poros, arrugas, lunares o marcas de acné exactamente donde deberían estar. Mirá con lupa — la piel se ve demasiado uniforme, como una máscara de silicona.
- Tonos de piel desparejados: El blending entre la cara sintética y el resto del cuerpo falla. El cuello es un tono, la cara es otro. Las orejas no tienen el color correcto.
- Desincronización labios-audio: El movimiento de los labios no coincide con el audio. La persona dice “a” pero los labios dicen “o”. Esto es cada vez más difícil de detectar con modelos nuevos (Sora, Veo), pero sigue siendo una brecha.
- Bordes pixelados o halos: Alrededor de los bordes de la cara (línea del cabello, oreja) se ven pixeles raros o un contorno artificial. Es el blending fallando.
El problema es que estos indicadores mejoran cada trimestre. Los modelos de 2024 flacos en parpadeo; los de 2026 son perfectos. La detección puramente técnica es una carrera que los defensores están perdiendo. Ya lo cubrimos antes en sin necesidad de una API externa.
Deepfakes en video llamadas: el nuevo vector de fraude empresarial
El caso más famoso es GhostCall. Criminales suplantan a ejecutivos de empresas en Zoom, Teams o Meet. Llaman a empleados del departamento de finanzas y piden que autoricen una transferencia urgente. La cara es falsa, la voz es sintetizada con IA, pero el contexto es real — el criminal investigó quién es el CEO, cuánto cuesta una transferencia típica, cuál es el bank account de la empresa. El empleado ve el nombre del CEO en la pantalla (pueden falsificar eso también), escucha su voz (deepfake de audio), ve su cara (deepfake de video). ¿Quién va a decir que no?
Casos registrados: una empresa en Taiwan perdió USD 15 millones cuando el CFO (en realidad un deepfake) autorizó una transferencia en una video llamada. Una empresa de logística en Hong Kong, 200 mil USD. No hay cifra oficial global, pero el riesgo es que escala. Avatarify (herramienta rusa de 2020, ahora descontinuada pero el código está abierto) permitía usar deepfakes como avatar en cualquier videollamada. Heyyen, Kapwing y otras tienen generadores de avatares sintéticos. Es el ecosistema completo disponible.
Medidas de defensa: cómo protegerse de deepfakes en tiempo real
La defensa técnica sola no funciona. Las herramientas de detección existen (MediaForensics de Microsoft, Sensity, Reality Defender) pero son lentas, costosas y fallan en videos nuevos que no vieron en entrenamiento. OpenAI Sora 2 y Google Veo 3 (que generan video desde texto) van a hacer la detección mucho más difícil todavía. Así que la defensa real es operacional:
- Verificación por canal alternativo: Si tu CEO te pide autorizar una transferencia urgente en una video llamada, colgá. Llamalo por teléfono con el número que tenés en el directorio (no el que te pasó el video falso). Preguntale en persona qué necesita. Una demora de 5 minutos mata una estafa de USD 15 millones.
- Desconfianza de instrucciones urgentes: Las estafas viven de la urgencia. “Necesito aprobación en 10 minutos porque cierra la operación.” Eso es fake. Las transferencias empresariales reales tienen procesos, múltiples autorizadores, tickets. Si no hay un ticket, no hay transferencia.
- Preguntas que solo ella conocería: Preguntale al que está en la pantalla algo que solo tu CEO sabría. Nombre del gato, nombre de pila del contador, qué restaurante fue el del último off-site. Si no sabe, es falso.
- Configurar salas de video llamada seguras con contraseña: Si tu empresa usa Teams o Zoom, limitá quién puede ingresar. No enlaces públicos. Contraseña. Sala de espera donde verificás identidad antes de admitir.
- Entrenar al equipo. La defensa final es el humano. Kaspersky tiene material de conciencia sobre deepfakes. Miralo con tu equipo de finanzas una vez al trimestre.
Herramientas disponibles en 2026: del generador educativo a los riesgos reales
Si buscás crear un deepfake (para un cortometraje, un proyecto educativo, una broma entre amigos), hay opciones:
| Herramienta | Precio | Qué hace | Restricciones |
|---|---|---|---|
| HeyGen | USD 12-480/mes | Avatar sintético + generador de video desde script de texto | UI web, no código abierto. Requiere consentimiento de identidad. |
| Deepfacelab | Gratis (código abierto) | Entrenamiento de modelos deepfake locales. Requiere dataset de imágenes. | Requiere GPU. Curva de aprendizaje: alta. Documentación: irregular. |
| Callstrike (educativo) | Gratis + planes enterprise | Demo de face-swapping en navegador. Testing de defensa en Teams/Zoom. | Uso educativo. No genera archivos descargables. |
| Faceswap (código abierto) | Gratis (código abierto) | Intercambio de caras en video. UI desktop. | Requiere GPU. Menos activo que DeepfaceLab en actualizaciones. |
| Deep-Live-Cam | Gratis (código abierto) | Face-swapping en tiempo real para webcam. Muy ligero. | Modelos pequeños, calidad variable. Proyecto reciente. |
| Kapwing Avatar Studio | USD 25-600/mes | Avatar virtual + síntesis de voz + generación de video | Web-based. Video predefinido templates. |
La realidad es que modelos como OpenAI Sora 2 y Google Veo 3 van a simplificar todo esto. Dentro de 6 meses vamos a tener herramientas que generan video fotorealista de cualquier persona desde un prompt de texto. No va a haber que entrenar nada. Eso es lo que asusta, no Callstrike.
Errores comunes que comete la gente
1. “Voy a detectar el deepfake con software de detección”
No. Los modelos de detección entrenan en deepfakes que ya existen. Cada versión nueva de generador rompe la generación anterior de detector. Es como antivirus — siempre atrás. Si necesitás estar seguro, no uses defensa técnica; usá defensa operacional (el teléfono, el contacto de otra forma).
2. “Un deepfake de buena calidad necesita horas de procesamiento”
Falso. Los modelos de 2026 generan deepfakes en tiempo real. Callstrike hace live streaming. 40-90 segundos en hardware estándar. Un criminal que apunta a tu empresa no necesita perfección — necesita lo suficiente para que el CFO no se fije dos veces mientras está en 5 reuniones simultáneas. Sobre eso hablamos en herramientas de IA modernas.
3. “Si tengo una sola foto no pueden hacer un deepfake mío”
Pueden. Transfer learning + modelos pre-entrenados = una foto tuya de LinkedIn alcanza. Un criminal necesita 10 minutos, una RTX 4060 y tu foto pública. Eso es todo.
4. “Voy a reconocer un deepfake por el parpadeo”
¿Vos parpadeas mientras mirás a la cámara en una video llamada? Probablemente poco. El criminal sabe eso. Los modelos nuevos tienen parpadeos correctos. No podés confiar en tu ojo.
Qué está confirmado / Qué no
Confirmado
- Callstrike existe y funciona: Es una herramienta real de educación y testing, desarrollada por una empresa de seguridad de ciberseguridad. Tiene documentación, casos de uso enterprise.
- Face-swapping en tiempo real es posible: Múltiples herramientas lo demuestran (HeyGen, Avatarify, Deep-Live-Cam). No es hipotético.
- Los casos de GhostCall son reales: Hay reportes públicos de empresas en Taiwan, Hong Kong y Singapore que perdieron millones en estafas con deepfakes de video llamadas. Escudo Digital documentó el caso.
- Los indicadores de detección (parpadeo, sincronización labios-audio) funcionan hoy: Pero los modelos nuevos están eliminando estas debilidades rápidamente.
- La defensa operacional (verificación por canal alternativo) es efectiva: Una llamada telefónica rompe el scam. Los criminales saben eso — por eso apunta a gente con miedo o prisa.
Pendiente / No confirmado
- El número total de estafas por deepfake en video llamadas a nivel global: No hay estadística central. Solo casos reportados en medios. El número real es probablemente 10x más alto.
- Si Sora 2 o Veo 3 van a ser más fáciles de usar que HeyGen para crear deepfakes: Todavía están en early access. Las restricciones de seguridad podrían ser robustas.
- Si hay una herramienta de detección que realmente funcione en tiempo real: Hay investigación en UC Berkeley, Stanford y MIT, pero nada publicado que sea production-ready contra modelos 2026.
Preguntas Frecuentes
¿Qué es un deepfake en tiempo real y cómo funciona?
Un deepfake en tiempo real es una manipulación de video generada por redes neuronales GAN que reemplaza la cara de una persona por otra mientras el video se transmite. Funciona en tres pasos: el modelo aprende a reconocer los rasgos de la cara objetivo (con una o dos fotos), luego mapea esa cara a cualquier pose o ángulo, y finalmente mezcla el resultado con el video original. Todo ocurre en 40-90 segundos en hardware estándar.
¿Cómo detectar un deepfake en una video llamada?
Los indicadores técnicos son parpadeo irregular, desincronización entre movimiento de labios y audio, tonos de piel desparejados, y bordes pixelados. Pero estos fallan con modelos nuevos. La detección real es operacional: si recibís una solicitud de transferencia urgente en video, colgá y llamá al CEO por teléfono usando el número que tenés registrado. Una demora de 5 minutos mata la estafa.
¿Cuáles son los riesgos de los deepfakes para mi seguridad?
Tres riesgos principales: suplantación en video llamadas (criminales pidiéndote dinero usando la cara de alguien que conocés), phishing (falsos videos de CEOs pidiendo datos sensibles), y fraude empresarial (casos documentados donde perdieron millones de dólares). El riesgo escala porque el software es cada vez más fácil de usar y más barato.
¿Qué herramientas gratuitas existen para crear deepfakes?
Deepfacelab, Faceswap y Deep-Live-Cam son código abierto y gratis. Requieren GPU y conocimiento técnico. Para usuarios sin experiencia, HeyGen tiene un generador web que cuesta USD 12/mes. Callstrike es gratis para demostración educativa. Pero la advertencia: usar estas herramientas para estafar o difamar es ilegal en prácticamente todas las jurisdicciones.
¿Cómo protegerme de estafas con deepfakes en Zoom o Teams?
Configura acceso a tus salas de video llamada solo por invitación, con contraseña y sala de espera. Nunca autorices transferencias de dinero basadas en una video llamada solamente — verifica contactando a la persona por otro canal (teléfono de la empresa, en persona). Enseñale a tu equipo de finanzas a preguntar detalles que solo el CEO conocería. Si algo te huele mal, mejor equivocarse en la defensiva que perder millones.
Conclusión
Callstrike hizo un favor importante al poner un deepfake educativo en el navegador de cualquiera. Porque ahora no tenés que confiar en lo que alguien te contó — podés verlo, experimentarlo, entender el riesgo. La herramienta misma no es el problema (de hecho, es educación). El problema es que hace 3 años podrías hacer lo mismo con código abierto, y en 6 meses lo van a poder hacer cualquiera con un prompt de texto en Sora 2. Eso cambió el juego.
La defensa no es técnica. No es “voy a instalar software de detección.” La defensa es operacional: desconfianza de instrucciones urgentes, verificación por canal alternativo, preguntas que solo la persona conocería. Un deepfake perfecto se rompe con una llamada telefónica de 2 minutos. Así que el cambio que necesitás hoy no es en tu infraestructura de ciberseguridad, sino en cómo protocola tu empresa las autorizaciones de dinero.
Si tu empresa maneja dinero o datos sensibles, revisá cómo autorizan transferencias hoy, capacitá al equipo de finanzas, y bloquea video llamadas como único canal para autorización. Lo que Callstrike demostró es que la carrera tecnológica contra los deepfakes ya está perdida — la defensa final es humana.
