Mercor Breach: 4TB de muestras de voz e identificaciones robadas – Qué pueden hacer ahora los atacantes

El 4 de abril de 2026, el grupo de extorsión Lapsus$ publicó a Mercor en su sitio de filtraciones. El volcado es de aproximadamente cuatro terabytes, que incluyen datos biométricos de voz junto con documentos de identidad emitidos por el gobierno de más de 40.000 contratistas que etiquetaron datos, grabaron lecturas de pasajes y realizaron llamadas de verificación para el entrenamiento de IA.

Por qué esta filtración es diferente

La mayoría de las filtraciones de voz se dividen en dos categorías: grabaciones de centros de llamadas sin un mapeo de identidad sencillo, o filtraciones de documentos de identidad sin audio. Mercor combinó ambas. El proceso de incorporación de contratistas solicitaba un escaneo del pasaporte o licencia de conducir, una selfie con la cámara web y luego una grabación de voz leyendo indicaciones guionizadas. Esa secuencia es exactamente lo que necesita un servicio de clonación de voz sintética como entrada. La clonación de voz de alta calidad ahora requiere aproximadamente 15 segundos de audio de referencia limpio: las grabaciones de Mercor tienen un promedio de 2 a 5 minutos de voz limpia como estudio por contratista, junto con una identidad verificada.

Qué pueden hacer los atacantes

Estos modelos de amenaza ya están documentados en el mundo real:

• Evasión de verificación bancaria: Varios bancos de EE. UU. y el Reino Unido utilizan la huella de voz como uno de dos factores. Un clon que lee una frase de desafío supera la puerta de audio, dejando solo una pregunta de conocimiento del mismo conjunto de datos filtrados.
• Vishing al empleador de la víctima: Llamar a recursos humanos o finanzas haciéndose pasar por el empleado para redirigir la nómina, solicitar una transferencia o desbloquear una estación de trabajo. Krebs on Security enumera más de dos docenas de casos confirmados desde 2023.
• Videollamadas deepfake (plantilla Arup): En 2024, un trabajador de finanzas en Arup transfirió ~25 millones de dólares después de una videollamada deepfake con múltiples personas construida a partir de material público; las filtraciones de Mercor proporcionan audio de estudio más una identidad verificada.
• Fraude de reclamaciones de seguros: Pindrop reportó un aumento interanual del 475% en ataques de voz sintética contra centros de llamadas de seguros durante 2025.
• Estafas románticas y de abuelos: El FBI IC3 registró pérdidas de 2.300 millones de dólares para víctimas mayores de 60 años en 2026; la categoría de más rápido crecimiento fueron las llamadas de suplantación de emergencia.

Cómo verificar si su voz está siendo mal utilizada

Si cargó una muestra de voz en Mercor o en cualquier intermediario de entrenamiento de IA durante 2025, trate su voz como una contraseña filtrada. No puede rotarla, pero puede cambiar lo que desbloquea:

• Audite su propia huella de audio pública: busque en YouTube, directorios de podcasts y grabaciones antiguas de Zoom muestras de su voz. Elimine lo que pueda.