Incidentes Asociados
La IA ha permitido a los estafadores eludir las comprobaciones antispoofing y la verificación de voz, lo que les permite producir documentos de identificación y financieros falsos con una rapidez sorprendente. Sus métodos se han vuelto cada vez más ingeniosos a medida que evoluciona la tecnología generativa. ¿Cómo pueden protegerse los consumidores y qué pueden hacer las instituciones financieras para ayudar?
1. Los deepfakes potencian la estafa de impostores
La IA facilitó la mayor estafa de impostores jamás registrada. En 2024, Arup, una consultora de ingeniería con sede en el Reino Unido, perdió alrededor de 25 millones de dólares después de que unos estafadores engañaran a un miembro de su personal para que transfiriera fondos durante una videoconferencia en vivo. Habían clonado digitalmente a altos directivos reales, incluido el director financiero.
Los deepfakes utilizan algoritmos generadores y discriminadores para crear un duplicado digital y evaluar el realismo, lo que les permite imitar de forma convincente los rasgos faciales y la voz de alguien. Con la IA, los delincuentes pueden crear uno con solo un minuto de audio y una sola fotografía. Dado que estas imágenes, clips de audio o vídeos artificiales pueden ser pregrabados o en directo, pueden aparecer en cualquier lugar.
2. Modelos Generativos Envían Falsas Advertencias de Fraude
Un modelo generativo puede enviar simultáneamente miles de falsas advertencias de fraude. Imaginemos a alguien hackeando un sitio web de electrónica de consumo. A medida que llegan grandes pedidos, su IA llama a los clientes para informarles de que el banco ha marcado la transacción como fraudulenta. Les solicita su número de cuenta y las respuestas a sus preguntas de seguridad, indicando que debe verificar su identidad.
La llamada urgente y la sospecha de fraude pueden persuadir a los clientes a proporcionar su información bancaria y personal. Dado que la IA puede analizar grandes cantidades de datos en segundos, puede referenciar rápidamente hechos reales para que la llamada sea más convincente. 3. La personalización con IA facilita el robo de cuentas
Si bien un ciberdelincuente podría forzar su acceso adivinando contraseñas constantemente, a menudo utiliza credenciales de inicio de sesión robadas. Cambian inmediatamente la contraseña, el correo electrónico de respaldo y el número de autenticación multifactor para evitar que el verdadero titular de la cuenta los expulse. Los profesionales de la ciberseguridad pueden defenderse de estas tácticas porque conocen el manual. La IA introduce variables desconocidas, lo que debilita sus defensas.
La personalización es el arma más peligrosa que puede tener un estafador. Suelen dirigirse a las personas durante las horas punta cuando se realizan muchas transacciones, como el Black Friday, para dificultar la monitorización del fraude. Un algoritmo podría adaptar los horarios de envío según la rutina, los hábitos de compra o las preferencias de mensajes de la persona, aumentando así la probabilidad de que interactúe.
La generación avanzada de lenguaje y el procesamiento rápido permiten la generación masiva de correos electrónicos, la suplantación de dominios y la personalización de contenido. Incluso si los delincuentes envían diez veces más mensajes, cada uno parecerá auténtico, persuasivo y relevante.
4. La IA generativa revoluciona la estafa de los sitios web falsos
La tecnología generativa puede hacerlo todo, desde diseñar wireframes hasta organizar contenido. Un estafador puede pagar una miseria para crear y editar un sitio web falso, sin código, de inversión, préstamos o banca en cuestión de segundos.
A diferencia de una página de phishing convencional, se actualiza casi en tiempo real y responde a la interacción. Por ejemplo, si alguien llama al número de teléfono indicado o utiliza el chat en vivo, podría conectarse con un modelo entrenado para actuar como un asesor financiero o un empleado de banco.
En uno de estos casos, los estafadores clonaron la plataforma Exante. La empresa global de tecnología financiera brinda a los usuarios acceso a más de un millón de instrumentos financieros en docenas de mercados, por lo que las víctimas pensaron que estaban invirtiendo legítimamente. Sin embargo, sin saberlo, estaban depositando fondos en una cuenta de JPMorgan Chase.
Natalia Taft, directora de cumplimiento de Exante, afirmó que la firma encontró varias estafas similares, lo que sugiere que la primera no fue un caso aislado. Taft afirmó que los estafadores hicieron un excelente trabajo clonando la interfaz del sitio web. Añadió que las herramientas de inteligencia artificial probablemente lo crearon porque se trata de un "juego de velocidad" y que deben "afectar al mayor número posible de víctimas antes de ser desmantelados".
5. Algoritmos que eluden las herramientas de detección de vida
La detección de vida utiliza biometría en tiempo real para determinar si la persona frente a la cámara es real y coincide con la identificación del titular de la cuenta. En teoría, eludir la autenticación se vuelve más difícil, impidiendo que las personas usen fotos o videos antiguos. Sin embargo, no es tan efectivo como antes, gracias a los deepfakes impulsados por IA.
Los ciberdelincuentes podrían usar esta tecnología para imitar a personas reales y acelerar el robo de cuentas. Alternativamente, podrían engañar a la herramienta para que verifique una identidad falsa, facilitando así el robo de dinero.
Los estafadores no necesitan entrenar un modelo para esto; pueden pagar por una versión preentrenada. Una solución de software afirma que puede eludir cinco de las herramientas de detección de vida más destacadas que utilizan las empresas fintech para una compra única de $2,000. Los anuncios de herramientas como esta abundan en plataformas como Telegram, lo que demuestra la facilidad del fraude bancario moderno.
6. Las identidades de IA facilitan el fraude de cuentas nuevas
Los estafadores pueden usar tecnología generativa para robar la identidad de una persona. En la dark web, muchos sitios ofrecen documentos estatales falsificados, como pasaportes y licencias de conducir. Además, proporcionan selfies y registros financieros falsos.
Una identidad sintética es una persona inventada que se crea combinando datos reales y falsos. Por ejemplo, el número de la Seguridad Social puede ser real, pero el nombre y la dirección no lo son. Por lo tanto, son más difíciles de detectar con herramientas convencionales. El informe Tendencias de Identidad y Fraude de 2021 muestra que aproximadamente el 33% de los falsos positivos que Equifax detecta son identidades sintéticas.
Estafadores profesionales con presupuestos generosos y grandes ambiciones crean nuevas identidades con herramientas generativas. Cultivan la identidad, estableciendo un historial financiero y crediticio. Estas acciones legítimas engañan al software de conocimiento del cliente, lo que les permite pasar desapercibidos. Finalmente, agotan su crédito y desaparecen con ganancias netas positivas.
Aunque este proceso es más complejo, ocurre de forma pasiva. Algoritmos avanzados entrenados en técnicas de fraude pueden reaccionar en tiempo real. Saben cuándo realizar una compra, saldar la deuda de la tarjeta de crédito o solicitar un préstamo como un humano, lo que les ayuda a evitar ser detectados.
Qué pueden hacer los bancos para defenderse de estas estafas de IA
Los consumidores pueden protegerse creando contraseñas complejas y siendo cautelosos al compartir información personal o de cuentas. Los bancos deberían esforzarse aún más para defenderse del fraude relacionado con la IA, ya que son responsables de proteger y administrar las cuentas.
1. Utilizar herramientas de autenticación multifactor
Dado que las falsificaciones profundas han comprometido la seguridad biométrica, los bancos deberían optar por la autenticación multifactor. Incluso si un estafador logra robar las credenciales de inicio de sesión de alguien, no podrá acceder.
Las instituciones financieras deberían recomendar a sus clientes que nunca compartan su código MFA. La IA es una herramienta poderosa para los ciberdelincuentes, pero no puede eludir de forma fiable las contraseñas seguras de un solo uso. El phishing es una de las pocas formas en que puede intentar hacerlo.
2. Mejorar los estándares de conocimiento del cliente
KYC es un estándar de servicios financieros que exige a los bancos verificar la identidad, los perfiles de riesgo y los registros financieros de los clientes. Si bien los proveedores de servicios que operan en zonas legales grises técnicamente no están sujetos al KYC (las nuevas normas que afectan a las DeFi no entrarán en vigor) (https://www.ifcreview.com/news/2025/january/us-irs-and-treasury-impose-new-tax-rules-for-crypto-defi-platforms/) hasta 2027, es una buena práctica para toda la industria.
Las identidades sintéticas con historiales de transacciones legítimos y cuidadosamente elaborados durante años son convincentes, pero propensas a errores. Por ejemplo, una simple ingeniería rápida puede obligar a un modelo generativo a revelar su verdadera naturaleza. Los bancos deberían integrar estas técnicas en sus estrategias.
3. Utilizar análisis de comportamiento avanzado
Una buena práctica para combatir la IA es combatir el fuego con fuego. El análisis de comportamiento impulsado por un sistema de aprendizaje automático puede recopilar una enorme cantidad de datos sobre decenas de miles de personas simultáneamente. Puede rastrear todo, desde el movimiento del ratón hasta los registros de acceso con marca de tiempo. Un cambio repentino indica una apropiación indebida de la cuenta.
Si bien los modelos avanzados pueden imitar los hábitos de compra o crédito de una persona si cuentan con suficientes datos históricos, no podrán imitar la velocidad de desplazamiento, los patrones de deslizamiento ni los movimientos del ratón, lo que otorga a los bancos una sutil ventaja.
4. Realizar evaluaciones de riesgos exhaustivas
Los bancos deben realizar evaluaciones de riesgos durante la creación de cuentas para prevenir el fraude en nuevas cuentas y denegar recursos a las mulas de dinero. Pueden comenzar buscando discrepancias en el nombre, la dirección y el número de seguro social.
Si bien las identidades sintéticas son convincentes, no son infalibles. Una búsqueda exhaustiva de registros públicos y redes sociales revelaría que son de reciente creación. Un profesional podría eliminarlas con el tiempo suficiente, previniendo la mula de dinero y el fraude financiero.
Una retención temporal o un límite de transferencia pendiente de verificación podría evitar que actores maliciosos creen y eliminen cuentas masivamente. Si bien hacer que el proceso sea menos intuitivo para los usuarios reales puede generar fricción, podría ahorrarles a los consumidores miles o incluso decenas de miles de dólares a largo plazo.
Protección de los clientes contra estafas y fraudes con IA
La IA representa un grave problema para los bancos y las empresas fintech, ya que los actores maliciosos no necesitan ser expertos, ni siquiera tener grandes conocimientos técnicos, para ejecutar estafas sofisticadas. Además, no necesitan desarrollar un modelo especializado. En cambio, pueden desbloquear una versión de uso general. Dado que estas herramientas son tan accesibles, los bancos deben ser proactivos y diligentes.