Cómo la ciberdelincuencia usa la IA para estafar

(Maldita.es).- Correos fraudulentos casi indistinguibles de los reales, videollamadas falsas con supuestos jefes y currículums manipulados con IA: los timadores están utilizando inteligencia artificial para estafar a empresas. Lo hacen generando contenido hiperrealista que engaña a empleados y permite suplantar identidades. Expertos en ciberseguridad aseguran a Maldita.es que la clave para evitar estos fraudes es formar a los trabajadores y utilizar herramientas de protección tecnológica.

La inteligencia artificial está facilitando nuevas formas de fraude empresarial. Los timadores están empleando esta tecnología para hacer más convincentes sus ataques. Correos de phishing que imitan a proveedores habituales, videollamadas falsas de supuestos directivos o identidades sintéticas para infiltrarse en procesos de selección son algunas de las estrategias detectadas.

Según Miguel López, director para el Sur de EMEA en la compañía de ciberseguridad Barracuda Networks, hay herramientas de IA que permiten generar correos en varios idiomas sin errores. Antes, los fallos gramaticales servían para detectar timos; ahora, los mensajes pueden parecer escritos por un interlocutor habitual.

Diego León Casas, CEO de la empresa de ciberseguridad Flameera, afirma que estos correos “hiperrealistas” buscan que los empleados revelen información sensible o aprueben transferencias bancarias. Además, indica que ya se están utilizando audios y vídeos generados por IA para suplantar la voz o imagen de directivos. En un caso en Hong Kong, una videollamada falsa logró que un empleado transfiriera más de 27 millones de dólares creyendo que hablaba con el director financiero. La compañía de ciberseguridad ESET alerta de que este tipo de vídeos manipulados se están usando para amplificar el fraude del correo corporativo comprometido (BEC, por sus siglas en inglés). 

La IA también permite generar malware. López destaca que estas herramientas son eficaces para desarrollar código y detectar fallos, capacidades que también se están orientando hacia fines delictivos. Aunque muchos modelos de IA tienen filtros éticos, León explica que algunos han sido modificados para eliminar estas restricciones.

Otra técnica detectada es el uso de bots de IA en plataformas como WhatsApp o Telegram. Según Josep Albors, responsable de Investigación y Concienciación de ESET España, estos bots suplantan a reclutadores en grupos de empleo falsos, enviando respuestas automáticas para estafar a posibles víctimas.

La generación de identidades sintéticas es otro método. Desde la empresa Veridas, especializada en identidad digital, explican que los timadores combinan datos reales con imágenes creadas con IA o documentos falsificados para superar controles de verificación. Esto se puede automatizar y ejecutar a gran escala, alertan.

Con documentación falsa, los ciberdelincuentes también pueden suplantar a empleados o proveedores. Empresas de varios países han sido víctimas de supuestos trabajadores norcoreanos que han utilizado IA para falsificar sus currículums y acceder a empleos con fines de espionaje, robo de datos o envío de fondos al Gobierno de Corea del Norte, según advierte ESET.

Para prevenir estos fraudes, León recomienda confirmar cualquier solicitud inusual mediante un canal distinto, implementar la autenticación multifactor y formar al personal, sobre todo en departamentos sensibles. El Instituto Nacional de Ciberseguridad (INCIBE) ofrece recursos gratuitos para ello.

También es esencial contar con un protocolo claro de actuación ante posibles fraudes y utilizar herramientas de detección basadas en inteligencia artificial. López destaca las soluciones XDR (detección y respuesta extendida), que monitorizan toda la red y ayudan a identificar amenazas reales descartando falsos positivos.