Escrito por: Jerónimo Corregido
Los fraudes bancarios han evolucionado del phishing simple para alcanzar un nuevo nivel de perfeccionamiento, que incluye estafas con voz clonada por IA y otras técnicas. Se trata de lo que se conoce como “fraude híbrido”. La meta es que las víctimas entreguen por sí mismas sus datos sensibles.
Las estafas con voz clonada por IA corresponden a la categoría de deepfakes.
Fraude híbrido: la era de las estafas con voz clonada por IA
La capacidad de las nuevas tecnologías cobra una especial magnitud cuando estas se aplican para el fraude. En la actualidad, se está dando un paso de los tradicionales timos por correo electrónico a estafas con voz clonada por IA, que incluso pueden incorporar imágenes.
Así lo resaltan entidades de control, como el Instituto Nacional de Ciberseguridad (INCIBE) de España, que describe el caso como un ejemplo de voice hacking. La implementación de la inteligencia artificial para realizar estafas supone un nivel de dificultad mayor para percibir la amenaza.
La clonación de voz en estafas se usa sobre todo cuando los delincuentes intentan hacerse pasar por una entidad bancaria. Esto se debe a que muchas operaciones financieras deben realizarse a través del banco, y por eso un llamado telefónico brinda cierta confianza, de modo que la víctima baja la guardia.
En efecto, el fraude de la voz con inteligencia artificial utiliza una multiplicidad de técnicas para confundir al usuario, sobre todo phishing y sus derivados. Por eso es que los especialistas hablan de un “fraude híbrido”, en el que se combinan distintas estrategias delictivas.
El objetivo es que la víctima brinde sus datos confidenciales por sí misma. De esta manera, los estafadores consiguen la información necesaria para completar estafas bancarias. La IA le abrió la puerta a una nueva oleada de peligros, para los cuales el grueso de la población no parece preparado.
Los estafadores eligen a las víctimas a través de un proceso de ingeniería social, que implica el registro de datos de particulares. Según Europol, esta es la principal fuente de fraudes financieros en la región. Los atacantes pueden operar desde cualquier parte del mundo, utilizando centrales coordinadas donde se utilizan bots para expandir el alcance del fraude.
Cómo se ejecutan las estafas bancarias con IA
El primer paso en la cadena es la recopilación de datos. Para ello, los delincuentes atacan sitios específicos en función de quedarse con las bases de usuarios, que incluyen nombres, correos electrónicos y otra información. Tal como lo que le sucedió recientemente a la empresa Booking.com, entre otras.
Otra posibilidad es que los grupos dedicados a la estafa compren las bases de datos en la deepweb. Hay organizaciones dedicadas a robar información y venderla en el mercado negro.
Con los datos recabados, se pueden dar los primeros pasos hacia las estafas con voz clonada por IA. Pero el proceso no suele comenzar con un llamado, sino con un mensaje de texto o un correo electrónico. Los estafadores intentan suplantar la identidad de una entidad bancaria; con las nuevas tecnologías, consiguen hacerlo cada vez más fielmente.
En esos mensajes se suele requerir información confidencial o se solicita la reiteración de un pago ya realizado. Como esto puede resultar sospechoso, los estafadores abren los canales del fraude híbrido: SMS + llamadas. A continuación, es probable que a la víctima le suena el móvil, y que el número que llama sea el mismo que utiliza el banco.
La voz del otro lado simula ser la de un operario, pero en realidad es la propia inteligencia artificial. Con un discurso convincente, los estafadores consiguen que las víctimas concreten operaciones bancarias o que entreguen datos sensibles. La tecnología, sin dudas, parece inclinarse hacia el lado de los agresores.
En algunos casos, los bancos pueden reembolsar el dinero perdido. Esto se da cuando hay pruebas de que la estafa no se debió a una negligencia del usuario. Por ejemplo, entregar códigos de seguridad, números de PIN y otra información determinante se considera una imprudencia, ya que las entidades bancarias indican de antemano que esos datos nunca deben ser compartidos.
