Cómo el IA está impulsando el aumento del fraude de pago

El fraude de pago ha existido desde que existen los sistemas financieros. Los actores maliciosos siempre han encontrado formas de explotarlos. Hoy en día, la inteligencia artificial ha dado a esos actores una ventaja significativa, reduciendo la barrera de entrada para ataques que antes requerían una avanzada experiencia técnica. Para cualquier negocio o individuo que envíe o reciba dinero, entender cómo el IA está cambiando el panorama del fraude se ha vuelto extremadamente importante.

¿Qué es el fraude de pago?

El fraude de pago se refiere a cualquier transacción no autorizada o ilegal dirigida a obtener ganancias financieras. Abarca una amplia gama de esquemas, desde datos de tarjetas de crédito robados utilizados para realizar compras hasta elaborados estafas de ingeniería social que engañan a los individuos para que transfieran dinero a delincuentes. Las formas tradicionales incluyen fraude de tarjeta no presente, toma de cuenta, fraude de cheques y phishing.

Aunque estos métodos han existido durante muchos años, la tecnología de IA ha aumentado dramáticamente su efectividad y los ha hecho más difíciles de detectar. La escala del problema refleja lo serio que se ha vuelto. De hecho, los datos de la industria muestran que el 80% de las organizaciones fueron víctimas de ataques o intentos de fraude de pago en 2023 solo — un aumento del 15% con respecto al año anterior.

Formas en que el IA está facilitando el fraude de pago

El IA es un factor importante en el fraude de pago hoy en día. Ha permitido una precisión y escalabilidad sin precedentes, lo que ha llevado a un grado preocupante de sofisticación y volumen en los métodos de fraude.

1. Deepfakes y fraude de identidad sintética

Uno de los desarrollos más alarmantes en el fraude asistido por IA es el surgimiento de la tecnología de deepfakes. Los estafadores ahora pueden generar audio y video muy convincentes de personas reales para impersonar a partes importantes. Estos clips de medios sintéticos se han utilizado en estafas de compromiso de correo electrónico empresarial, donde un empleado recibe lo que parece ser una llamada de video o un correo de voz de un líder senior autorizando una transferencia grande.

El fraude de identidad sintética sigue un enfoque relacionado. Los sistemas de IA pueden generar identidades completamente fabricadas con información como un número de Seguro Social válido emparejado con un nombre ficticio y una dirección. Estas identidades sintéticas se utilizan para abrir cuentas, construir historias financieras y eventualmente drenar fondos. Como no hay una sola persona real que sea víctima, estos casos de fraude a menudo pasan desapercibidos durante largos períodos.

Este tipo de ataque hiperpersonalizado se conoce como phishing dirigido, y el IA lo ha hecho más rápido y barato de ejecutar a gran escala. Un estafador ahora puede generar miles de correos electrónicos de phishing personalizados en minutos, cada uno personalizado para el destinatario según su empleador o función.

La clonación de voz agrega otra capa a esta amenaza. Con solo unos segundos de audio grabado, las herramientas de IA pueden replicar la voz de alguien con una precisión alarmante. Los delincuentes han utilizado esto para llamar a familiares o empleados mientras impersonan a una persona de confianza, y luego solicitan transferencias de fondos urgentes o detalles de cuentas sensibles.

2. Toma de cuenta automatizada

El fraude de toma de cuenta ocurre cuando un delincuente obtiene acceso no autorizado a una cuenta legítima y la utiliza para realizar transacciones o robar datos personales. El IA ha hecho que esto sea significativamente más eficiente a través de ataques de relleno de credenciales.

En un ataque de relleno de credenciales, los bots automatizados recorren listas masivas de combinaciones de nombres de usuario y contraseñas robadas a alta velocidad, probándolos en plataformas bancarias y aplicaciones de pago. Cuando se encuentra una coincidencia, el atacante obtiene acceso sin tener que crackear una contraseña.

Una vez dentro de una cuenta, el IA puede asistir en la siguiente fase, analizando el historial de la cuenta para entender los patrones de gasto normales y ayudando al estafador a realizar transacciones que se mezclan antes de que se note el robo.

3. Explotación de pagos en tiempo real

La expansión de las redes de pagos en tiempo real ha creado nuevas oportunidades para el fraude. Como las transacciones se procesan en cuestión de segundos, la ventana para la detección y la intervención es extremadamente estrecha. Los estafadores han aprovechado esto diseñando ataques que mueven dinero rápidamente a través de múltiples cuentas antes de que se puedan levantar banderas.

El IA permite a los delincuentes orquestar estas transacciones rápidas con mayor precisión. Al automatizar el flujo de fondos a través de cuentas en diferentes instituciones, los estafadores pueden ocultar el rastro y complicar la recuperación.

4. Phishing y ingeniería social impulsados por IA

Los correos electrónicos de phishing tradicionales ya no son fáciles de detectar, con una mala gramática y una fraseología sospechosa siendo características comunes. Ahora, los modelos de lenguaje generativo han cambiado completamente esta realidad. Los modelos de lenguaje grande pueden producir mensajes de phishing que son contextualmente relevantes y sofisticados, adaptados a objetivos específicos en función de la información disponible públicamente en plataformas en línea como las redes sociales y los perfiles comerciales.

Consejos para identificar y evitar el fraude de pago en la era del IA

Defenderse contra el IA requiere un aprendizaje y avances tecnológicos continuos.

1. Mantenerse educado y actualizado

Las tácticas de fraude evolucionan rápidamente. Seguir las pautas de organizaciones como el Centro de Quejas de Delitos de Internet del FBI ayuda a los individuos y las empresas a estar al tanto de las amenazas emergentes. Mantenerse al tanto de las plataformas de noticias relevantes y las fuentes clave de la industria ayuda a las personas a estar informadas sobre cómo está evolucionando el panorama de ataques y cómo adaptar su postura de seguridad en consecuencia.

Para las instituciones, es especialmente importante capacitar a los empleados regularmente. El error humano es uno de los puntos de entrada más comunes para los ataques cibernéticos. Las organizaciones deben realizar capacitaciones regulares sobre el reconocimiento de phishing y las tácticas de ingeniería social. Las pruebas de phishing simuladas pueden ayudar al personal a aplicar este conocimiento en condiciones realistas.

2. Implementar tecnología y marcos relevantes

Las instituciones financieras y las marcas pueden luchar contra el fraude con la misma tecnología que explotan los estafadores. Los sistemas de detección de fraude impulsados por IA analizan el comportamiento de las transacciones en tiempo real, señalizando anomalías que caen fuera de los patrones normales y deteniendo pagos sospechosos antes de que se completen.

La autenticación de múltiples factores (MFA) es otro método que agrega una barrera significativa contra el acceso no autorizado en cuentas financieras y plataformas empresariales. Implica múltiples capas de verificación para acceder a una cuenta. Incluso si se roban credenciales, la MFA puede prevenir la toma de cuenta.

3. Mantenerse vigilante y siempre verificar

Cualquier solicitud inesperada de transferencia de fondos o redirección de pago debe verificarse a través de un canal secundario. Si un correo electrónico solicita un pago urgente, llame al remitente utilizando un número de los registros oficiales, no uno incluido en el mensaje sospechoso.

Además, los estafadores a menudo confían en crear pánico que evite el pensamiento crítico. Es importante mantenerse cauteloso con respecto a estas tácticas emocionales y responder con una mente analítica. Las solicitudes que exigen acción inmediata o citan consecuencias por retraso deben tratarse siempre con extrema precaución.

Construir resiliencia a largo plazo contra las tácticas de fraude de pago avanzadas

Mientras que el aumento de la implementación del IA ha traído considerables innovaciones en various industrias, también ha creado avenidas para ataques muy maliciosos. Ya sea a través de tácticas de ingeniería social hiperpersonalizadas o explotación de pagos en tiempo real, estar al tanto de las estrategias simples para mitigarlos puede ser la diferencia entre crímenes catastróficos y disfrutar de los beneficios de la tecnología de automatización con confianza.

La clave aquí es adoptar una actitud proactiva y mantenerse al día sobre las amenazas emergentes y las salvaguardias contra ellas, en lugar de confiar en un enfoque reactivo. En última instancia, la verdadera resiliencia pertenece a aquellos que constantemente se mantienen por delante.