Fraudes con Inteligencia Artificial: Nueva tecnología, viejos objetivos

La suplantación de identidad es una de las claves de los fraudes con Inteligencia Artificial que amenazan a empresas, administraciones y ciudadanía

En 2021, una conocida empresa cervecera contó con Lola Flores, una artista enormemente célebre en España, para anunciar sus elaboraciones. Hasta aquí, nada parece especialmente sorprendente, es normal que los artistas presten su cara y su voz con fines publicitarios. Lo curioso de este caso es que La Faraona había fallecido en 1995. Su resurrección se hizo esperar 26 años y fue posible gracias al uso de Inteligencia Artificial y a la voz de su hija.

Así fue como se popularizó en nuestro país el concepto de deepfake, si bien esta tecnología se lleva usando desde hace muchos años y ha permitido, por ejemplo, rejuvenecer a actores o resucitar personajes icónicos de sagas como Star Wars o Indiana Jones.

Más allá de su uso productivo legítimo, los profesionales de ciberseguridad están constatando la proliferación de fraudes con Inteligencia Artificial.

Mediante estas actuaciones, los actores maliciosos emplean IA generativas para suplantar la identidad de personas y empresas con el objetivo de estafar a ciudadanos y compañías.

¿En qué consisten estos ciberataques? ¿Qué papel juega la IA en ellos? ¿Cuál es su impacto potencial en las empresas, las instituciones y el conjunto de la sociedad?

1. Un paso más en la evolución de los fraudes digitales

En primer lugar, debemos precisar que los fraudes con Inteligencia Artificial no suponen una nueva tipología de ciberataques, sino que vienen a ser una evolución de los fraudes digitales que los profesionales de ciberseguridad, ciberinteligencia y Threat Hunting combaten desde hace años.

¿Cuál es el factor diferencial con fraudes clásicos como el uso combinado de phishing y malware para sustraer datos bancarios de personas y empresas? Que la Inteligencia Artificial facilita el trabajo de los delincuentes y les ayuda a complejizar sus ataques y, por ende, a dificultar su detección.

A partir de estas nociones, podemos esbozar las principales características de los fraudes con Inteligencia Artificial.

1.1. Sencillez y rapidez

Es más sencillo y rápido diseñar y ejecutar los fraudes con IA. La Inteligencia Artificial generativa ya está siendo empleada por miles de empresas, profesionales y usuarios para multitud de fines. Desde la creación de videos, hasta la redacción de proyectos o, incluso, para programar webs, porque supone un mayúsculo ahorro de tiempo y permite a personas sin las capacidades y conocimientos necesarios para realizar algunas acciones, poder ejecutarlas con éxito.

Pues bien, esta misma lógica aplica para los ciberdelincuentes. Un actor malicioso puede usar los sistemas de IA para redactar los mensajes de una campaña de phishing o crear páginas webs que parecen legítimas y, sin embargo, son fraudulentas.

1.2. Sofisticación

Se tratan de ataques más sofisticados. Si a la ecuación ingeniería social + malware le añadimos, también, Inteligencia Artificial, resulta evidente que la complejidad de un ataque aumenta, así como las probabilidades de tener éxito.

Si a una persona le escribe por WhatsApp una persona que dice ser un familiar que necesita dinero, pero escribe mal y es incapaz de responder con coherencia, la víctima potencial seguramente no caiga en la estafa. En cambio, si gracias a la IA se envía un audio que reproduce la voz de un familiar real o una fotografía manipulada en una situación de gravedad, la víctima no tendrá indicios para desconfiar.

1.3. Apariencia de veracidad

La apariencia de veracidad dificulta la detección. Los fraudes con Inteligencia Artificial no solo son más sofisticados, sino que el uso de esta tecnología disruptiva incrementa la apariencia de veracidad de los ataques.

Si los delincuentes recurren a la IA y realizan, por ejemplo, deepfakes, ataques clásicos como las campañas de phishing o vishing resultan más difíciles de detectar.

1.4. Evolución acelerada de la tecnología

Los fraudes con Inteligencia Artificial suponen un desafío para los profesionales de la ciberseguridad y los equipos defensivos de las organizaciones. A lo largo de los años se han perfeccionado los mecanismos de seguridad para prevenir los ataques de ingeniería social o para detectar malware de forma temprana y evitar su propagación por los sistemas corporativos. Sin embargo, la irrupción y consolidación de la IA exige a los expertos en ciberseguridad adaptar sus actividades a una tecnología en constante evolución.

Las IA generativas ya están produciendo resultados asombrosos, pero se espera que en los próximos años alcancen un nivel de perfeccionamiento que va a alterar el funcionamiento del tejido productivo y la manera en la que vivimos.

Esta tecnología trae consigo un amplio abanico de potencialidades, pero también ha generado, y seguirá haciéndolo, desafíos en materia de seguridad. Por lo que es fundamental que los expertos en ciberseguridad se formen de manera continua para adaptar sus técnicas y tácticas a la evolución de la tecnología.

2. Ingeniería social e Inteligencia Artificial, un combo explosivo

El phishing y otras técnicas de ingeniería social como el, smishing, el vishing o el fraude del CEO han sido protagonistas del panorama de amenazas en los últimos años. Sobre todo, gracias al uso combinado de técnicas de ingeniería social y malware para engañar a personas y empresas y conseguir sustraerles cuantiosas cantidades de dinero.

De hecho, en muchos ciberataques, está presente la ingeniería social a la hora de buscar y encontrar un vector de entrada. Por ejemplo, enviar un email falso a un profesional y conseguir que haga clic en una URL o descargue un archivo infectado con un malware.

2.1. Fraudes más complejos y mayor número de atacantes potenciales

Pues bien, la popularización de las IA generativas supone una nueva vuelta de tuerca, porque estos sistemas pueden ser empleados por los ciberdelincuentes para perfeccionar sus ataques:

• Elaborar mensajes mejor escritos para engañar a las personas que los reciben y conseguir que faciliten datos confidenciales, hagan clic en un enlace o descarguen un documento.
• Simular la apariencia de emails y webs corporativos con un altísimo grado de realismo, evitando levantar suspicacias entre las víctimas.
• Clonar las voces y los rostros de las personas y realizar deepfakes de voz o imagen que no puedan ser detectados por las personas atacadas. Una cuestión que puede tener enorme repercusión en estafas como el fraude del CEO.
• Responder con eficacia a las víctimas, gracias a que las IA generativas ya pueden mantener conversaciones.
• Poner en marcha campañas de ingeniería social en menos tiempo, invirtiendo una cantidad de recursos inferior y consiguiendo que sean más complejas y difíciles de detectar. Puesto que con las IA generativas que ya están en el mercado no solo se pueden escribir textos, clonar voces o generar imágenes, sino también programar webs.

Además, las IA generativas abren la posibilidad de que se multiplique el número de atacantes potenciales, porque al permitir realizar numerosas acciones, pueden ser empleadas por delincuentes sin los recursos y los conocimientos necesarios.

 

3. Suplantación de identidades a partir del caudal de información de internet

La entente Inteligencia Artificial – ingeniería social se alimenta de toda la información que está disponible hoy en día en internet sobre las empresas y las personas.

De hecho, los grandes modelos de lenguaje (LLM, por sus siglas en inglés), que son el corazón de las IA generativas necesitan datos para entrenarse y producir videos, fotos, audios o textos cada vez más realistas.

Los delincuentes que desean realizar fraudes con Inteligencia Artificial parten con una gran ventaja: nuestra vida está en internet. Webs profesionales o educativas, blogs personales, y, por supuesto, las redes sociales, ofrecen una radiografía precisa de quiénes somos y de cómo somos, por dentro y por fuera.

Gracias a aplicaciones como TikTok, Instagram o Facebook los actores maliciosos pueden obtener el material suficiente para clonar nuestro rostro y nuestra voz, incluidos los gestos que realizamos o las inflexiones en nuestra forma de expresarnos. De hecho, existen, ya, IA generativas capaces de producir deepfakes difíciles de detectar.

Pero no solo eso, cuanto más se perfeccionen las IA, mayor será la exactitud a la hora de imitar no solo nuestra apariencia, sino también nuestra forma de ser y de relacionarnos.

3.1. La IA también puede ser el espejo del alma

En un célebre capítulo de la antología distópica Black Mirror, una mujer adquiría un robot idéntico a su novio fallecido físicamente, pero que, además, replicaba su forma de ser, gracias a una IA que había sido capaz de reconstruir su personalidad procesando sus publicaciones en todas las redes sociales.

Pues bien, lo que en 2013 el episodio Be Right Back pintaba como distópico, diez años después es prácticamente una realidad.

Las IA generativas son capaces de entrenarse con todos los datos sobre nosotros disponibles en nuestras redes sociales en particular y en internet en general para imitar la manera en la que nos expresamos.

¿Con qué fin? Cometer fraudes con Inteligencia Artificial, por ejemplo, escribiendo a nuestra madre a través de WhatsApp, Facebook o X para informarle de que necesitamos que realice un pago porque en ese momento nos resulta imposible. ¿Por qué la víctima no desconfía de la estafa? Porque el mensaje está escrito a la perfección y la forma de responder coincide con la manera de expresarse de la persona a la que se le está suplantando la identidad.

4. Quebrar los sistemas de autenticación biométricos de las organizaciones

El reconocimiento facial y la clonación de voz han sido sistemas empleados para incrementar el nivel de seguridad en el proceso de autenticación de los usuarios en aplicaciones web y móviles y en sistemas corporativos. Ya sean clientes de compañías como entidades bancarias que desean entrar en sus áreas privadas en las aplicaciones web o móviles; o, especialmente, profesionales de miles de grandes empresas que operan en múltiples sectores económicos sensibles: energéticas, farmacéuticas, industrias, seguridad…

El uso de los sistemas de IA para suplantar la identidad de las personas puede poner en tela de juicio los sistemas de autenticación facial o por voz, puesto que, si los delincuentes pueden clonar nuestro rostro o nuestra voz, podrían emplearlo para suplantar nuestra identidad y acceder a datos sensibles, internarse en nuestras cuentas bancarias o, incluso, desplegar malware en los sistemas corporativos.

5. Generar documentación y pistas falsas para dificultar la detección de los ataques

Como su propio nombre indica, las IA generativas son sistemas de enorme utilidad a la hora de producir textos, imágenes, sonidos o contenidos audiovisuales.

Por ello, pueden ser empleadas de forma maliciosa para generar documentos o esparcir pistas falsas en las redes sociales, con el objetivo de cometer fraudes con Inteligencia Artificial, en los que se cuide hasta el más mínimo detalle.

Pensemos, por ejemplo, en los fraudes contra el sector turístico. Los delincuentes pueden usar las herramientas de IA para redactar sus mensajes o crear webs falsas, pero también pueden elaborar documentos para no levantar sospechas entre las víctimas, como facturas o recibos e, incluso, documentación bancaria falsa. Lo mismo puede decirse de otros fraudes similares como el timo del CEO.

Ya lo dice el refranero popular: «el diablo está en los detalles».

Asimismo, la generación de toda clase de documentos visuales o audiovisuales puede ser esencial para fortalecer un engaño creando perfiles en redes sociales con una apariencia de legitimidad intachable. E, incluso, empleando las redes sociales no solo para suplantar identidades, sino también para desinformar y evitar que un ataque en marcha sea detectado.

En este sentido, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) advierte a las compañías de que una de las amenazas más relevantes de los próximos años serán las amenazas avanzadas híbridas. Es decir, ataques lanzados para vulnerar la propiedad industrial de las empresas y recabar información sobre sus investigaciones en los que se emplearán sistemas de Inteligencia Artificial para recopilar información, pero también para ofuscar los ataques generando fake news y evidencias falsas que apunten hacia otros posibles culpables, como otras compañías de la competencia.

6. El sector financiero y las identidades Frankenstein

Nadie está a salvo de los fraudes digitales en general, y de los fraudes con Inteligencia Artificial en particular. Ni las empresas, ni las personas individuales.

Los fraudes con Inteligencia Artificial pueden impactar en todos los sectores económicos y ámbitos sociales. Pensemos, por ejemplo, en el terreno educativo, en el que los profesores tienen que lidiar no solo con trabajos falsos, sino también con suplantación de identidades, sobre todo, en la teleeducación.

Sin embargo, resulta evidente que pueden ser especialmente críticos en un ámbito de vital importancia para las empresas y los ciudadanos: el sector financiero.

Más allá del perfeccionamiento de campañas de ingeniería social o el quebrando de mecanismos de autenticación biométricos, que ya hemos tratado con anterioridad, cabe destacar una tendencia que puede suponer una gran amenaza para las compañías financieras y las empresas y ciudadanos que trabajan con ellas: los fraudes de identidad sintética o identidad Frankenstein.

¿En qué consisten los fraudes de identidad sintética? Son una clase de estafa que combina información real sobre una persona con datos falsos y que se puede generar gracias a los sistemas de IA. De tal forma que, a partir de un dato real, por ejemplo, un número de DNI o de la Seguridad Social de una persona, se crea una identidad completamente falsa y distinta a la de la persona que detenta dicho número. Habida cuenta de las brechas de datos que se han producido en los últimos años, hoy en día es posible adquirir número de identificación personal en la Dark Web, sin necesidad de realizar un ataque previo para conseguirlo.

6.1. Fraudes de largo recorrido

¿Qué consiguen los ciberdelincuentes poniendo en marcha fraudes de identidad sintética?

1. Abrir cuentas bancarias y obtener crédito. Los ciberdelincuentes profesionales no realizan fraudes en el corto plazo, sino que le construyen un historial crediticio sólido a la identidad falsa, por ejemplo, solicitando préstamos y créditos que devolverán de forma eficaz para garantizar su solvencia. ¿Con qué objetivo? Una vez que la solvencia esté demostrada, agotarán todo el saldo de las tarjetas de crédito que hayan solicitado, así como el dinero obtenido vía préstamos y desaparecerán sin dejar rastro.
2. Evitar ser detectados por las entidades financieras, pero también por las personas que son legítimas propietarias de los documentos empleados para construir la identidad falsa. Esto supone el gran diferencial entre los robos de identidad tradicionales y los sintéticos, puesto que, en los primeros, es posible que las entidades bancarias y las víctimas descubran el fraude en un periodo temporal breve y, por lo tanto, el impacto sea mucho menor.

Hoy en día, las herramientas de Inteligencia Artificial pueden ser extraordinariamente útiles para los ciberdelincuentes a la hora de ayudarlos a construir identidades sintéticas para cometer fraudes económicos y estafar a las compañías financieras. ¿Por qué? Facilitan la construcción de la identidad y reducen el tiempo, los recursos y los conocimientos que deben emplear los actores maliciosos.

Estas estafas son percibidas por los bancos como una amenaza de primer nivel, más aún tras la popularización de las IA generativas. De hecho, el 92% de las compañías del sector en Estados Unidos considera que los fraudes de identidad sintética suponen una amenaza de primer nivel y la mitad de ellas ha detectado estafas de este tipo.

7. Tomar la iniciativa a la hora de prevenir los fraudes con Inteligencia Artificial

Habida cuenta de lo que hemos expuesto a lo largo de este artículo, podemos observar que los fraudes con Inteligencia Artificial suponen una optimización de los fraudes y ciberataques tradicionales. O, dicho de otra forma, los ciberdelincuentes emplean una tecnología disruptiva y que aún va a evolucionar de manera radical en los próximos años, para complejizar y sofisticar sus técnicas, tácticas y procedimientos. Sin embargo, los objetivos delictivos se mantienen inalterables: estafar a personas y empresas, enriquecerse económicamente, amenazar la continuidad de negocio de las compañías, sustraer, secuestrar y exfiltrar información sensible…

¿Qué pueden hacer las empresas y las administraciones públicas para combatir los fraudes con Inteligencia Artificial y evitar las consecuencias de los incidentes de seguridad? Disponer de profesionales de ciberseguridad con una gran experiencia a sus espaldas y que realicen investigaciones de forma continua para descubrir cómo evolucionan los sistemas de IA disponibles, qué usos maliciosos pueden llevar a cabo los delincuentes y cómo se transforman sus técnicas, tácticas y procedimientos.

7.1. La ciberseguridad es una cuestión estratégica

En este sentido, juegan un papel fundamental servicios de ciberseguridad avanzados como:

• Test de ingeniería social para evaluar las defensas de la organización a técnicas avanzadas que usen IA y formar y concienciar a los profesionales para que no sean víctimas de engaños.
• Gestión de vulnerabilidades para monitorear la infraestructura de una compañía y reducir los tiempos de detección y remediación de incidentes de seguridad, teniendo en cuenta el uso malicioso de herramientas de IA.
• Detección y caza proactivas de amenazas y vigilancia continua para detectar ataques desconocidos y dirigidos contra la organización.
• Escenarios de Red Team que tengan en cuenta el uso pernicioso de sistemas de IA para perfeccionar todo tipo de ciberataques.

La irrupción de la Inteligencia Artificial ya está transformando a nuestro tejido productivo. Como toda tecnología de vanguardia, la IA trae consigo un sinfín de potencialidades y tiene el potencial para mejorar y agilizar miles de procesos que llevan a cabo las empresas y los profesionales.

Los sistemas de IA ya juegan un papel clave en múltiples ámbitos, incluida la ciberseguridad, donde existen tecnologías como los sistemas UEBA para optimizar la detección de comportamientos anómalos que sirvan para descubrir ataques en fases tempranas.

¿Qué queremos decir con esto? Al igual que los fraudes con Inteligencia Artificial suponen un desafío para los profesionales de ciberseguridad, las empresas, las administraciones públicas y las personas, la tecnología también puede ser extremadamente útil a la hora de mejorar las capacidades de prevención, detección, predicción y respuesta ante incidentes de seguridad.

Sea como fuere, la ciberseguridad y la ciberinteligencia son claves para proteger a los sistemas de IA frente a los ataques, pero también para combatir los fraudes e incidentes que se diseñan e implementan sirviéndose de las potencialidades de esta tecnología.