Seguridad ·

Deepfakes de perfil: cuando el LinkedIn de otro es una versión sintética tuya

En 2026 ya no hace falta mucha imaginación para clonar el perfil de otra persona en LinkedIn. Con un modelo de imagen entrenado en unas pocas fotos públicas, un generador de texto y una tarde libre, cualquiera puede montar un perfil que use tu cara ligeramente alterada, un nombre casi idéntico al tuyo y una biografía que suena a algo que tú podrías haber escrito. La víctima suele enterarse por casualidad, cuando un contacto le pregunta si «también tiene una cuenta con el segundo apellido delante».

Esta guía explica cómo funcionan los deepfakes de perfil, cómo detectarlos rápido si un colega te avisa, cómo reportarlos para que LinkedIn los retire en menos de 48 horas y qué medidas preventivas puedes tomar hoy mismo para que suplantarte cueste bastante más de lo que compensa a quien lo intenta.

Por Sheena de PunkVoice · Editado por Mario Pérez

Ilustración cálida de una persona sentada a un escritorio de madera sosteniendo un pequeño espejo redondo a la altura de los ojos, en cuyo reflejo aparece una versión de sí mismo sutilmente distinta y desenfocada, con la lámpara terracota, la taza y el borde azul del portátil creando una escena íntima e inquietante.

Qué es exactamente un deepfake de perfil

Un deepfake de perfil es una cuenta creada para hacerse pasar por una persona real, apoyándose en tres piezas generadas o manipuladas con IA: una foto (a menudo la tuya real, ligeramente retocada para pasar los detectores de imagen duplicada), un nombre casi idéntico al tuyo (con un segundo apellido añadido, con la inicial en vez del nombre, con un carácter Unicode invisible) y una biografía escrita en tu tono aproximado a partir de la que ya tienes pública.

La finalidad varía. La más común en 2026 es el fraude romántico o el fraude comercial: el impostor conecta con tus contactos, entabla conversación por mensajes privados y en algún momento propone una operación económica (una inversión, un préstamo, una consultoría anticipada). Otros usos: reputación (publicar contenido en tu nombre para dañarte), phishing dirigido a tu empresa, o inflar seguidores comprando perfiles ya activos.

Los perfiles suelen tener entre 200 y 800 conexiones cuando los descubres. Es suficiente para pasar la revisión visual de la mayoría de tus contactos, y bastante inferior a tu red real, lo que también sirve como pista.

Cómo detectar un deepfake de perfil en menos de un minuto

Cuando un contacto te avisa de que «hay otra cuenta tuya» o cuando tú mismo encuentras una sospechosa, el primer minuto es el que decide si estás delante de un homónimo real o de una suplantación. Estos son los seis chequeos rápidos que resuelven el 90% de los casos.

  • Compara el nombre carácter a carácter. Los suplantadores usan variaciones sutiles: una «i» sustituida por una «í», una «a» con acento cirílico, un espacio de no ruptura entre nombre y apellido, un guion bajo casi invisible.
  • Copia la URL del perfil sospechoso en Google Imágenes con la foto. Si aparece en varios perfiles de otras redes con nombres distintos, es un banco de fotos robadas.
  • Mira las conexiones en común. Si tenéis cero conexiones en común pero el perfil dice trabajar en tu misma empresa desde hace tres años, es suplantación.
  • Comprueba la antigüedad de la cuenta. Un perfil creado hace menos de seis meses con biografía muy pulida y foto profesional suele ser sospechoso; los perfiles reales dejan un rastro de actividad histórica que la IA no puede fabricar.
  • Lee tres publicaciones seguidas del perfil sospechoso en voz alta. Si suenan a IA sin edición humana (los cinco tics de la guía de acento), añade señal de suplantación.
  • Fíjate en el «About». Un impostor suele reproducir el tuyo con leves variaciones lingüísticas: los verbos cambian, el orden de las frases se altera, pero los ejemplos concretos y los nombres propios desaparecen o se sustituyen por genéricos.

Cómo reportarlo para que LinkedIn lo retire

LinkedIn tiene un procedimiento específico para suplantación de identidad, distinto del reporte genérico de spam. Es más lento pero mucho más efectivo, y desde 2025 permite adjuntar prueba documental. Estos son los pasos en el orden que funciona en 2026.

Uno: entra al perfil sospechoso, pulsa el menú «Más» y elige «Denunciar o bloquear» / «Denunciar este perfil» / «Suplantación de identidad». Dos: rellena la petición con la URL de tu perfil real y una foto tuya con documento de identidad visible (LinkedIn la conserva cifrada, no la publica). Tres: bloquea la cuenta suplantadora desde el mismo menú para cortar el acceso a tu perfil desde ella.

Cuatro: envía un mensaje al equipo de soporte pulsando «Ayuda» en tu propio perfil y describiendo el caso con las tres URLs (tu perfil real, el suplantador, cualquier otro relacionado). Cinco: avisa a tus contactos con un post breve en tu propio muro. No hace falta enseñar la URL falsa (que aún atraería tráfico a ella), basta con explicar que existe una cuenta suplantadora, que no interactúen y que reporten. Seis: si la suplantación incluye fraude económico consumado o intento, denuncia en paralelo a la policía nacional (unidad de delitos informáticos) y a INCIBE.

En 2026 el tiempo medio de retirada tras un reporte con documento de identidad es de 24 a 48 horas. Sin documento, puede tardar semanas o no retirarse.

Qué hacer mientras el perfil falso sigue activo

Aunque el reporte esté en marcha, el perfil falso puede seguir operando 24 o 48 horas. En ese tiempo hay tres acciones concretas que reducen el daño: contener a la red, dejar rastro público de que sabes que existe, y documentar. Contener significa que tus contactos más expuestos (equipo, clientes activos, familia) sepan por un canal distinto de LinkedIn que hay una cuenta suplantadora. Un mensaje corto por email o por WhatsApp basta.

Dejar rastro público significa publicar en tu perfil real un post breve, con fecha, señalando la existencia de la cuenta falsa y pidiendo que se reporte. Si más adelante el impostor consigue algo de un tercero, ese post te protege legalmente (y ayuda al proceso interno de LinkedIn a acelerar la retirada). Documentar significa hacer capturas de pantalla del perfil falso, de sus tres o cuatro publicaciones y de cualquier mensaje que haya enviado a tus contactos, guardando la fecha y la URL. Si acaba habiendo denuncia o litigio, esas capturas son la prueba.

Cómo dificultar la suplantación antes de que ocurra

Ningún perfil está inmune al 100%, pero hay medidas que suben mucho el coste de suplantarte. Todas se implementan en un par de horas y valen para años.

  • Rellena el «Verified» de LinkedIn si tienes derecho (trabajadores de empresas con dominio verificado, gobierno, universidades). Es la insignia que un impostor no puede replicar.
  • Publica con regularidad. Un perfil con cadencia editorial constante deja un rastro que la IA no puede fabricar en pocas semanas.
  • Personaliza tu URL corta (linkedin.com/in/tunombre) y comunícala en tu firma de email, en tu web y en tus tarjetas. Es la que la gente comparte cuando duda entre dos perfiles.
  • Usa una foto de perfil difícil de reciclar: mira a cámara con expresión concreta y un fondo reconocible tuyo, en vez de la típica foto de estudio que cualquiera puede regenerar.
  • Escribe un «About» con anécdotas específicas: nombres propios, fechas, cifras. Es material que una IA puede reformular pero no inventar sin errores obvios.
  • Activa la autenticación en dos pasos, revisa las sesiones activas cada mes y renueva la contraseña dos veces al año. La mitad de las suplantaciones empiezan con acceso indebido a la cuenta real.

La identidad se protege actuando, no confiando en la plataforma

LinkedIn se ha puesto seria con la suplantación en los últimos dos años, pero su capacidad de acción es reactiva: solo actúa cuando alguien denuncia. Mientras la denuncia se procesa, la contención depende de ti. Un perfil con presencia constante, foto reconocible, contactos activos y una URL propia comunicada en todos los canales convierte una posible suplantación en un fraude poco rentable para quien lo intenta.

La otra mitad del trabajo es cultural: ayudar a tus contactos a normalizar la duda ante una segunda cuenta con tu nombre. Un simple «si te llega una segunda solicitud mía, verifícala por otro canal antes de aceptar» dicho de vez en cuando en tus propios posts vale más que cualquier medida técnica.

Preguntas frecuentes

¿LinkedIn detecta automáticamente los deepfakes de perfil?

Detecta algunos automáticamente (los que suben una foto claramente generada por IA con marca C2PA, o los que copian palabra por palabra el «About» de otra cuenta) pero la mayoría solo caen tras un reporte humano. Su clasificador interno prioriza los perfiles reportados con documento de identidad frente a los reportes anónimos.

¿Cuánto tarda LinkedIn en retirar una cuenta suplantadora?

En 2026, el tiempo medio con un reporte formal acompañado de documento de identidad es de 24 a 48 horas. Sin documento, puede alargarse semanas o quedarse abierto. Adjunta siempre el documento.

¿Debo publicar la URL del perfil falso al avisar a mi red?

No hace falta y suele ser contraproducente: enseñar la URL directa manda tráfico al impostor y puede aumentar sus conexiones antes de la retirada. Basta con describir la situación en un post en tu propio muro y pedir que reporten cualquier perfil sospechoso con tu nombre.

¿Puedo demandar a quien suplanta mi perfil?

Sí, es un delito tipificado en el Código Penal español (usurpación de estado civil, artículo 401, o estafa según el uso). Guarda todas las pruebas (capturas, mensajes, fechas) y denuncia en la policía nacional; INCIBE ofrece orientación gratuita en estos casos.

Si me suplantan una vez, ¿es más probable que vuelva a pasar?

Sí, sobre todo si el perfil real tiene visibilidad pública alta o cierta comunidad. Muchas veces los datasets de fotos y biografías robadas se venden y se reutilizan. Las medidas preventivas (verified, publicación regular, foto difícil de reciclar) valen aún más cuando ya has sufrido una suplantación previa.