Una nota sobre la financiación: CypherpunkGuide no lleva publicidad de vigilancia. Nada de redes publicitarias, píxeles de rastreo ni contenido patrocinado. Nos sostienen fuentes transparentes: hoy, las donaciones de los lectores; más adelante, una suscripción y afiliados alineados con nuestra línea editorial. Respondemos ante quienes nos leen, no ante los anunciantes.
Escribo bajo seudónimo y soy mujer, así que esta es la amenaza que sopeso antes de grabar nada. La vieja premisa detrás de una voz o un rostro conocidos era que se autenticaban solos: si tu madre oía tu voz por teléfono, eras tú, porque falsificarla exigía tu participación. Esa premisa se acabó. Los mismos rasgos biométricos que tomas como prueba de que eres «tú» —el timbre de tu voz, la geometría de tu cara, hasta el ritmo de tu escritura— son ahora materia prima con la que un modelo puede suplantarte, a partir de muestras que tú misma publicaste.
Esta es la cuarta premisa rota del modelo de amenazas de la era de la IA, y merece un tratamiento aparte porque la defensa es inusual: es casi por completo preventiva. No puedes retirar una muestra de voz y, como veremos, tampoco puedes hacer que un modelo la olvide de forma fiable. Por eso el trabajo va por delante: lo que publicas y lo que acuerdas de antemano con las personas a las que podrían atacar a través de ti. Abajo está la doble naturaleza del problema, por qué recae de forma desigual sobre las mujeres y sobre cualquiera que publique con un nombre, la reducción de muestras que baja tu exposición y el protocolo completo de verificación que el artículo anterior solo dejó prometido.
Tu biometría se volvió a la vez llave de acceso y blanco#
Una credencial es algo que prueba quién eres; una superficie de ataque es algo que un adversario puede aprovechar. La voz, el rostro y el estilo de escritura son ahora las dos cosas: los mismos rasgos que responden por ti permiten también a un modelo falsificarte. El derrumbe es reciente y está medido. En 2023, investigadores de Microsoft mostraron que su modelo VALL-E podía sintetizar la voz de una persona a partir de una muestra de tres segundos; un puñado de fotos basta para un parecido sintético convincente; un montón de tus publicaciones basta para imitar cómo escribes. Nada de esto requiere tu cooperación más allá de haber publicado en primer lugar.
Lo que convierte esto en un problema de credenciales, y no solo de falsificación, es que las instituciones empezaron a confiar en la biometría justo cuando se volvió barata de falsear. Los bancos desplegaron autenticación telefónica por huella de voz; las familias se fían de una voz reconocida; los asistentes se desbloquean ante un rostro. La Comisión Federal de Comercio de EE. UU. (FTC) señaló la consecuencia sin rodeos: lanzó un Voice Cloning Challenge en noviembre de 2023 y publicó Approaches to Address AI-enabled Voice Cloning en abril de 2024. Aquello que te autentica es ahora aquello que te compromete.
| Tu rasgo biométrico | Hoy se confía en él como credencial para | Ahora también es superficie de ataque porque |
|---|---|---|
| Voz | Identificación bancaria por teléfono, confianza familiar, asistentes de voz | Un fragmento de unos 3 segundos produce un clon convincente |
| Rostro | Verificación con foto de identidad, prueba social, desbloqueo del dispositivo | Un puñado de imágenes produce un parecido sintético |
| Estilo de escritura | «Suena a esa persona» | Un conjunto de publicaciones permite transferir el estilo |
La consecuencia defensiva es que dejes de pensar en estos rasgos como algo que se autentica solo. Una voz al teléfono ya no es prueba; un rostro en un vídeo ya no es prueba. Todo lo que sigue en este artículo parte de aceptar eso.
Por qué golpea con más fuerza a las mujeres y a los seudónimos#
Este riesgo no se reparte por igual. La suplantación, las imágenes íntimas fabricadas y el fraude por voz recaen de forma desproporcionada sobre las mujeres y sobre cualquiera que tenga un acosador motivado, lo que lo convierte en una cuestión de soberanía corporal y reputacional, no en una simple higiene de datos. La evidencia es consistente entre fuentes. Un estudio de Deeptrace de 2019 halló que el 96 % de los vídeos deepfake eran pornográficos y que, en la práctica, todas las personas atacadas eran mujeres; una encuesta sectorial de 2023 de Security Hero, firma de rastreo de deepfakes, situó la proporción pornográfica en el 98 %, con un 99 % de blancos mujeres. Son estudios de rastreo, no datos oficiales, pero su dirección la corrobora un periodismo más sólido.
En diciembre de 2024, el American Sunlight Project halló que en torno a una de cada seis mujeres del Congreso de EE. UU. —cerca del 16 %— había sido representada en imágenes deepfake sin consentimiento, y que a las mujeres se las tomaba como blanco unas 70 veces más a menudo que a los hombres (lo reportó primero The 19th). ONU Mujeres, al repasar el patrón más amplio, señala que más de la mitad de las víctimas de deepfakes en Estados Unidos contemplaron el suicidio y que la violencia digital se desborda con frecuencia hacia el acoso fuera de la red. El daño no es un riesgo reputacional abstracto; es dirigido, tiene género y está diseñado para silenciar.
Para una creadora seudónima, el aprieto se cierra en una contradicción. Una persona con nombre se construye sobre la voz y la presencia —un pódcast, una charla, un rostro que vuelve humano el trabajo—, y sin embargo cada grabación limpia y cada foto de frente son también datos de entrenamiento para quien quiera suplantar esa identidad o pegarla a mi yo legal. La reducción de muestras, primera defensa de abajo, choca de frente con el alcance. No voy a fingir que esa tensión no existe; voy a mostrar cómo gestionarla en lugar de dejar que ella me gestione a mí.
Primero prevenir: reduce las muestras que publicas#
La primera palanca es la reducción de muestras: baja el volumen y la nitidez del material biométrico en bruto que pones en público, asumiendo que esto es mitigación, no cura. Es la misma lógica que rige la desanonimización a escala de IA: el ataque más barato lee lo que ya publicaste, así que el control de mayor palanca está aguas arriba de cualquier retirada. La calidad de un clon está acotada por su material de entrenamiento. Las grabaciones largas, limpias y en solitario son la muestra ideal; el audio corto, con ruido y con varias voces a la vez es una muestra pobre. Tú eliges cuál entregas.
En concreto, eso significa separar la media de la persona con nombre de la captura biométrica de alta fidelidad siempre que puedas, y quitar los metadatos que clavan una muestra a una hora y un lugar. Para una creadora pública la meta no es el silencio: es degradar a propósito la calidad de la muestra en relación con el alcance. Audio con copresentador en vez de monólogo en solitario; un avatar ilustrado que lleve la identidad con nombre en vez de un rostro atado a un nombre legal; y un rechazo tajante a que tu voz haga las veces de factor de autenticación.
| Lo que publicas | El riesgo que crea | Alternativa de menor exposición |
|---|---|---|
| Grabaciones de voz largas, limpias y en solitario | Una muestra de entrenamiento de alta fidelidad | Fragmentos más cortos; audio con copresentador; ruido o música de fondo bajo la voz |
| Fotos de frente atadas a tu nombre legal | Un parecido y un enlace de identidad | Un avatar ilustrado para la persona con nombre; mantén cualquier rostro real lejos del nombre legal |
| Huella de voz como factor de banca o de acceso | Un clon se convierte en credencial que funciona | Desactiva la autenticación por voz; usa un segundo factor no biométrico |
Nada de esto es una cura, y decir lo contrario sería deshonesto. Las muestras ya públicas siguen públicas, y un adversario decidido puede trabajar con material pobre. La reducción baja la probabilidad y la fidelidad de un clon exitoso; no las lleva a cero. Por eso mismo se acompaña de la segunda palanca, que da por hecho que el clon acabará existiendo.
El protocolo de verificación, completo#
La segunda palanca es la confianza acordada de antemano: pacta, por adelantado y por un canal aparte, un paso de verificación con las personas a las que podrían atacar a través de ti, para que una voz clonada no pueda fabricar urgencia. Casi todos los consejos se quedan en «elige una palabra clave familiar». Es el instinto correcto y un protocolo incompleto. Una palabra clave funciona no porque sea secreta, sino porque obliga a una segunda comprobación, por un canal que el atacante no controla, justo en el momento en que se convierte la urgencia en arma. Construye todo el mecanismo en torno a ese principio, no en torno a una sola frase compartida.
La regla de diseño es sencilla: la verificación nunca debe viajar por el mismo canal que la petición. Una voz clonada controla la llamada entrante; no controla una devolución de llamada a un número que ya tienes, ni un recuerdo privado con el que nunca fue entrenada. La memoria episódica —un momento compartido concreto, no un dato que cualquiera podría publicar— es la parte de ti que un modelo no puede sintetizar.
| Elemento del protocolo | Cómo montarlo | Por qué un clon no puede vencerlo |
|---|---|---|
| Regla de canal aparte | Verifica por un canal distinto a aquel por el que llegó la petición (una llamada → un mensaje a un número conocido) | El clon controla un canal, no un segundo independiente |
| Reto de memoria vivida | Una pregunta que solo se responde desde una experiencia compartida, nunca publicada; rótala | Los modelos sintetizan la voz, no la memoria episódica privada |
| Disciplina de devolución de llamada | Cuelga; vuelve a llamar al número que ya tienes guardado | Anula el identificador de llamada falseado y la presión del tiempo |
| Señal de coacción | Una palabra pactada que significa «me están obligando: cumple y busca ayuda» | Cubre el caso en que la persona es real pero está coaccionada |
| Extensión para seudónimos | Para contactos seudónimos, comparte de antemano un código de un solo uso por un canal aparte, no atado a la identidad legal | Permite a un seudónimo verificarse sin des-seudonimizarse |
Esa última fila es la pensada para gente como yo, y la que ninguna guía de «palabra clave familiar» cubre. Si tus contactos de confianza te conocen solo como un seudónimo, no puedes recurrir a una historia familiar compartida sin romper el muro entre persona pública y persona real. Un código de verificación de un solo uso —intercambiado una vez por un canal cifrado y usado para arrancar un reto rotativo— permite que una red de colaboradores seudónimos se autentiquen entre sí sin que nadie llegue a saber un nombre legal. El protocolo escala desde un hogar de dos personas hasta una red distribuida de activistas o creadores precisamente porque nunca depende de una identidad legal compartida, sino solo de un secreto compartido establecido por un canal aparte.
«Bórralo y ya» no funciona, y por eso la prevención lo es todo#
Aquí el peso lo carga la prevención porque el borrado no sostiene la estructura. Quitar una voz o un parecido de un modelo ya entrenado es, a escala de producción, todavía una capacidad en fase de investigación —no un botón que puedas pulsar hoy—, así que el control que de verdad funciona es no soltar la muestra. Es el mismo relevo que la permanencia de tu huella publicada: el momento gana a la limpieza, porque la ingesta es continua y la eliminación, parcial.
La investigación es honesta sobre sus propios límites. MIT Technology Review informó en julio de 2025 de que se puede hacer que un modelo de texto a voz «desaprenda» a un hablante concreto, pero el proceso tarda días, degrada un poco las voces permitidas del modelo y, en palabras de los propios investigadores, «necesitaría soluciones más rápidas y escalables» para un uso real. Así que la afirmación exacta no es «el borrado es imposible»: es que el desaprendizaje automático (machine unlearning) sigue siendo una capacidad en fase de investigación, no un botón que puedas pulsar hoy. Trata cualquier oferta de «retira mi voz» como algo parcial y orientado al futuro, no como un deshacer.
Lo que reordena todo. Si la muestra, una vez pública, es en la práctica permanente, entonces el único control plenamente efectivo está antes de la publicación, y el segundo mejor es el protocolo de verificación que da por hecho que el clon existe. Las herramientas de detección y los servicios de retirada tienen su sitio, pero son el anillo exterior, el más débil. Los anillos interiores —reducir y acordar la confianza de antemano— son los que controlas por completo.
Conclusiones clave#
- La voz, el rostro y la escritura son ya credenciales y superficies de ataque a la vez. Deja de tratar una voz o un rostro reconocidos como prueba que se autentica sola.
- La defensa es preventiva, no reactiva. Un fragmento de unos 3 segundos clona una voz; no puedes retirar una muestra, y el desaprendizaje aún no está listo para producción.
- La amenaza tiene género. Las imágenes íntimas sintéticas y la suplantación recaen de forma abrumadora sobre las mujeres y los seudónimos públicos: es soberanía corporal y reputacional, no mera higiene de datos.
- Reduce la calidad de la muestra en relación con el alcance. Audio con copresentador, avatares para la persona con nombre, sin accesos por huella de voz, metadatos quitados.
- Acuerda de antemano un paso de verificación por un canal aparte. Disciplina de devolución de llamada, un reto de memoria vivida, una señal de coacción y —para seudónimos— un código de un solo uso que verifica sin des-seudonimizar.
Preguntas frecuentes#
¿De verdad la IA puede clonar mi voz a partir de un fragmento corto?#
Sí. Un modelo de investigación de Microsoft de 2023 demostró la síntesis de voz a partir de una muestra de tres segundos, y hoy hay herramientas comerciales que ofrecen una clonación similar con muestras cortas. En un estudio de la UC Berkeley de 2025 (Barrington y Farid, Scientific Reports), los oyentes confundieron esos clones con voces reales en torno al 80 % de las veces. La lección práctica es tratar cualquier grabación limpia y pública de tu voz como una muestra utilizable, y reducir cuántas de ellas existen.
¿De verdad funcionan las «palabras clave» familiares?#
Funcionan cuando obligan a una comprobación por un canal que el atacante no controla, y por eso la versión más fuerte es una devolución de llamada a un número conocido más una pregunta que solo se responde desde una memoria privada y compartida, no una única frase fija. Una contraseña se puede adivinar, oír por casualidad o sacar con ingeniería social; un reto rotativo de memoria vivida más una señal de coacción es mucho más resistente. La frase es la semilla del protocolo, no el protocolo entero.
¿Puedo retirar mi voz o mi rostro de los modelos de IA que ya se entrenaron con ellos?#
Hoy, no de forma fiable ni a escala. Se puede hacer que un modelo «desaprenda» a un hablante, pero el proceso es lento, imperfecto y aún no está desplegado en sistemas de producción (según MIT Technology Review, 2025). Las exclusiones y las señales de «no entrenar» afectan sobre todo a la ingesta futura, allí donde las plataformas las respetan. Trata la retirada como algo parcial y orientado al futuro, que es justo por lo que reducir lo que publicas importa más que cualquier retirada.
¿Por qué plantear esto en concreto como un problema de mujeres?#
Porque los datos están desequilibrados. Los estudios de rastreo sitúan a las mujeres como la abrumadora mayoría de los blancos de pornografía deepfake, y un estudio del American Sunlight Project halló que cerca de una de cada seis mujeres del Congreso aparecía representada en imágenes sin consentimiento, unas 70 veces la tasa de los hombres. Una defensa que ignore a quién se ataca de verdad protegerá de menos a las personas en mayor riesgo, así que el protocolo de aquí está construido para el modelo de amenazas del acoso y la suplantación, no solo para el del fraude.
¿Cuál es el paso aislado más efectivo?#
Deja de permitir que tu voz o tu rostro actúen como factor de autenticación: desactiva la banca por huella de voz y los accesos biométricos de «algo que eres» allí donde exista un segundo factor no biométrico. Es la única jugada que retira de inmediato una credencial funcional del alcance del atacante, mientras la reducción de muestras y el protocolo de verificación hacen el trabajo estructural, más lento.