Un grupo de hackers conocido como Lapsus$ filtró en línea 4 terabytes de grabaciones de voz y documentos de identidad de más de 40,000 contratistas que trabajaron para una empresa llamada Mercor, que proporciona datos para el entrenamiento de inteligencia artificial. La filtración, revelada el 4 de abril de 2026, ha provocado cinco demandas judiciales alegando que los contratistas no fueron informados adecuadamente de que sus muestras de voz serían utilizadas como identificadores biométricos permanentes.
La gravedad de la filtración radica en que combina datos de voz con documentos de identidad, lo que facilita la creación de clones de voz y la suplantación de identidad. Los atacantes podrían usar estas grabaciones para eludir la verificación bancaria por voz, realizar estafas de suplantación de identidad dirigidas a empleadores o familiares, cometer fraudes de seguros e incluso crear deepfakes de video para engañar a empleados y realizar transferencias de dinero, como ocurrió en Arup en 2024.
Se recomienda a los afectados tomar medidas como auditar su presencia en línea, establecer contraseñas verbales con contactos importantes, rotar la información de voz utilizada en servicios como Google Voice Match y contactar a sus bancos para desactivar la verificación por voz. La empresa ORAVYS ofrece un análisis gratuito de muestras de voz para verificar si han sido comprometidas.