La inteligencia artificial (IA) ayuda a automatizar tareas repetitivas para aumentar la eficiencia y ahorrar costos, mejora el servicio al cliente y la codificación, y a gestionar información para mejorar la toma de decisiones empresariales. Cada vez las empresas incorporan más en su día a día estas tecnologías y, según estimó una encuesta de Gartner realizada en octubre 2023, el 55% de las organizaciones ya estaban experimentando con soluciones de IA generativa (un 45%) o ya los habían implementado (15%). Estas cifras seguramente serán mayores hoy.

Sin embargo, las empresas criminales también están innovando con la tecnología, y eso significa malas noticias para los líderes de TI y de negocios en todas partes. Para hacer frente a esta creciente amenaza de fraude, se necesita una respuesta estratificada que se centre en las personas, los procesos y la tecnología.

¿Cuáles son las últimas amenazas de IA y deepfake?

Los ciberdelincuentes están aprovechando el poder de la IA y los deepfakes de varias maneras. Entre ellas se incluyen

  • Empleados falsos: Según informes, cientos de empresas han sido infiltradas por norcoreanos que se hacen pasar por autónomos de TI que trabajan a distancia, en plataformas de freelancers como Upwork o Fiverr.  Utilizan herramientas de IA para compilar currículos y documentos que puedan servirles para la falsa postulación, lo que incluye imágenes manipuladas por IA. Una vez infiltrada la organización objetivo final es ganar dinero para enviarlo al régimen norcoreano, así como el robo de datos, el espionaje e incluso el despliegue de ransomware.
  • Una nueva clase de estafas BEC: Se están utilizando clips de audio y vídeo deepfake para amplificar fraudes del tipo "business email compromise" (BEC) en los que se engaña a trabajadores financieros para que transfieran fondos corporativos a cuentas bajo control del estafador. En un reciente caso tristemente célebre, se convenció a un empleado de finanzas para que transfiriera 25 millones de dólares a unos estafadores que se valieron de deepfakes para hacerse pasar por el director financiero de la empresa y otros miembros del personal en una videoconferencia. Sin embargo, esto no es en absoluto nuevo: ya en 2019, un ejecutivo de energía del Reino Unido fue engañado para transferir £ 200,000 a estafadores después de hablar con una versión deepfake de su jefe por teléfono.
  • Eludir la autenticación: Los deepfakes también se están utilizando para ayudar a los estafadores a hacerse pasar por clientes legítimos, crear nuevos personajes y eludir los controles de autenticación para la creación de cuentas y el inicio de sesión. Un malware especialmente sofisticado, GoldPickaxe, está diseñado para recopilar datos de reconocimiento facial, que luego se utilizan para crear vídeos deepfake. Según un informe, el 13,5% de todas las aperturas de cuentas digitales en el mundo fueron sospechosas de actividad fraudulenta el año pasado.
  • Estafas deepfake: Los ciberdelincuentes también pueden usar deepfakes de maneras menos específicas, como hacerse pasar por CEO de empresas y otras figuras de alto perfil en las redes sociales, para promover inversiones y otras estafas. Como ha demostrado Jake Moore de ESET, teóricamente cualquier líder corporativo podría ser víctima de la misma manera. En una nota similar, como describe el último Threat Report de ESET, los cibercriminales están aprovechando deepfakes y publicaciones en redes sociales con la marca de la empresa para atraer a las víctimas como parte de un nuevo tipo de fraude de inversión llamado Nomani.
  • Descifrado de contraseñas: Los algoritmos de IA pueden ponerse a trabajar para descifrar las contraseñas de clientes y empleados, lo que permite el robo de datos, el ransomware y el fraude masivo de identidad. Uno de estos ejemplos, PassGAN, puede descifrar contraseñas en menos de medio minuto.
  • Falsificación de documentos: Los documentos generados o alterados por IA son otra forma de eludir los controles de conocimiento del cliente (KYC, Know Your Client) en bancos y otras empresas. También pueden utilizarse para el fraude de seguros. Casi todos los gestores de siniestros (94%) sospechan que al menos el 5% de los siniestros se manipulan con IA, especialmente los de menor cuantía.
  • Phishing y reconocimiento: El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha advertido del auge que los ciberdelincuentes están obteniendo de la IA generativa y de otros tipos. Afirmó a principios de 2024 que la tecnología "aumentará casi con toda seguridad el volumen y agudizará el impacto de los ciberataques en los próximos dos años", y que tendrá un impacto especialmente elevado en la mejora de la eficacia de la ingeniería social y el reconocimiento de objetivos. Esto impulsará el ransomware y el robo de datos, así como los ataques de phishing de gran alcance contra los clientes.

EW WLS banner ES

¿Cuál es el impacto de las amenazas de IA?

El impacto del fraude posibilitado por la IA es, en última instancia, un daño financiero y reputacional de diversos grados. Un informe estima que el 38% de los ingresos perdidos por fraude durante el año pasado se debieron a fraudes impulsados por IA. Es necesario resaltar el impacto de estos fraudes:

  • Eludir el control de los clientes permite a los estafadores acumular créditos y vaciar de fondos las cuentas de clientes legítimos.
  • Infiltrar en la organización a falsos empleados, facilita el robo de información sensible de IP y de clientes regulados, creando dolores de cabeza financieros, de reputación y de cumplimiento.
  • Las estafas BEC pueden generar enormes pérdidas puntuales. Esta categoría hizo que los ciberdelincuentes ganaran más de 2.900 millones de dólares solo en 2023.
  • Las estafas de suplantación de identidad amenazan la lealtad de los clientes. Un tercio de los clientes afirman que se alejarán de una marca que aman después de una sola mala experiencia.

Lucha contra el fraude basado en IA

La lucha contra este aumento del fraude posibilitado por la IA requiere una respuesta a varios niveles, centrada en las personas, los procesos y la tecnología. Esto debería incluir

  • Evaluaciones frecuentes del riesgo de fraude
  • Actualización de las políticas antifraude para adaptarlas a la IA
  • Programas integrales de formación y concienciación para el personal (por ejemplo, sobre cómo detectar el phishing y las falsificaciones profundas)
  • Programas de formación y concienciación para los clientes
  • Activación de la autenticación multifactor (AMF) para todas las cuentas corporativas y clientes sensibles
  • Mejora de la comprobación de los antecedentes de los empleados, por ejemplo, analizando los currículos en busca de incoherencias profesionales
  • Mejora de la colaboración entre los equipos de RRHH y ciberseguridad

La tecnología de IA también puede utilizarse en esta lucha, por ejemplo:

  • Herramientas potenciadas por IA para detectar deepfakes (por ejemplo, en comprobaciones KYC).
  • Algoritmos de aprendizaje automático para detectar patrones de comportamiento sospechoso en los datos del personal y de los clientes.
  • GenAI para generar datos sintéticos con los que desarrollar, probar y entrenar nuevos modelos de fraude.

A medida que la batalla entre la IA maliciosa y la benévola entra en una nueva e intensa fase, las organizaciones deben actualizar sus políticas de ciberseguridad y antifraude para garantizar que siguen el ritmo de la evolución del panorama de amenazas. Con tanto en juego, no hacerlo podría afectar a la lealtad del cliente a largo plazo, al valor de la marca e incluso hacer descarrilar iniciativas de transformación digital.

La IA tiene el potencial de cambiar las reglas del juego para nuestros adversarios. Pero también puede hacerlo para los equipos de seguridad y riesgos de las empresas.