Contáctenos

Cómo los estafadores utilizan la IA en el fraude bancario

Ciberseguridad

Cómo los estafadores utilizan la IA en el fraude bancario

mm
Publicado
Actualizado

La IA ha permitido a los estafadores eludir las comprobaciones antispoofing y la verificación de voz, lo que les permite producir documentos de identificación y financieros falsos con una rapidez sorprendente. Sus métodos se han vuelto cada vez más ingeniosos a medida que evoluciona la tecnología generativa. ¿Cómo pueden protegerse los consumidores y qué pueden hacer las instituciones financieras para ayudar?

1. Los deepfakes potencian la estafa de los impostores 

La IA facilitó la mayor estafa de impostores exitosa jamás registrada. En 2024, Arup, una consultora de ingeniería con sede en el Reino Unido, perdió alrededor de $ 25 millones Después de que unos estafadores engañaran a un empleado para que transfiriera fondos durante una videoconferencia en vivo, clonaron digitalmente a altos directivos reales, incluido el director financiero.  

Los deepfakes utilizan algoritmos generadores y discriminadores para crear un duplicado digital y evaluar el realismo, lo que les permite imitar de forma convincente los rasgos faciales y la voz de alguien. Con la IA, los delincuentes pueden crear uno. usando solo un minuto De audio y una sola fotografía. Dado que estas imágenes artificiales, clips de audio o videos pueden ser pregrabados o en vivo, pueden aparecer en cualquier lugar.

2. Los modelos generativos envían advertencias falsas de fraude

Un modelo generativo puede enviar simultáneamente miles de alertas falsas de fraude. Imagine a alguien hackeando un sitio web de electrónica de consumo. A medida que llegan grandes pedidos, su IA llama a los clientes para informarles que el banco ha marcado la transacción como fraudulenta. Les solicita su número de cuenta y las respuestas a sus preguntas de seguridad, indicando que debe verificar su identidad. 

La llamada urgente y la sospecha de fraude pueden persuadir a los clientes a proporcionar su información bancaria y personal. Dado que la IA puede analizar grandes cantidades de datos en segundos, puede referenciar rápidamente hechos reales para que la llamada sea más convincente.

3. La personalización con IA facilita el control de cuentas 

Si bien un ciberdelincuente podría forzar su acceso adivinando contraseñas constantemente, a menudo utiliza credenciales de inicio de sesión robadas. Cambian inmediatamente la contraseña, el correo electrónico de respaldo y el número de autenticación multifactor para evitar que el verdadero titular de la cuenta los expulse. Los profesionales de la ciberseguridad pueden defenderse de estas tácticas porque conocen el manual de estrategias. La IA introduce variables desconocidas, lo que debilita sus defensas. 

La personalización es el arma más peligrosa que puede tener un estafador. Suelen dirigirse a las personas. durante los períodos de tráfico pico Cuando se realizan muchas transacciones, como el Black Friday, para dificultar la vigilancia del fraude. Un algoritmo podría adaptar los horarios de envío según la rutina, los hábitos de compra o las preferencias de mensajes de cada persona, aumentando así la probabilidad de interacción.

La generación avanzada de lenguaje y el procesamiento rápido permiten la generación masiva de correos electrónicos, la suplantación de dominios y la personalización de contenido. Incluso si los atacantes envían diez veces más mensajes, cada uno parecerá auténtico, persuasivo y relevante.

4. La IA generativa revoluciona la estafa de los sitios web falsos

La tecnología generativa puede hacerlo todo, desde diseñar wireframes hasta organizar contenido. Un estafador puede pagar una miseria para crear y editar un sitio web falso, sin código, de inversión, préstamos o banca en cuestión de segundos. 

A diferencia de una página de phishing convencional, esta puede actualizarse casi en tiempo real y responder a la interacción. Por ejemplo, si alguien llama al número de teléfono indicado o usa el chat en vivo, podría ser conectado a un modelo entrenado para actuar como un asesor financiero o un empleado bancario. 

En uno de estos casos, los estafadores clonaron la plataforma Exante. Esta empresa global de tecnología financiera brinda a sus usuarios acceso a más de un millón de instrumentos financieros en decenas de mercados, por lo que las víctimas creyeron que estaban invirtiendo legítimamente. Sin embargo, sin saberlo, estaban depositando fondos en una cuenta de JPMorgan Chase.

Natalia Taft, directora de cumplimiento de Exante, afirmó que la firma encontró bastantes estafas similares, lo que sugiere que el primero no fue un caso aislado. Dijo que los estafadores hicieron un excelente trabajo. Clonando la interfaz del sitio web. Dijo que las herramientas de IA probablemente lo crearon porque es un "juego de velocidad" y que deben "atacar al mayor número de víctimas posible antes de ser desmantelados".

5. Los algoritmos eluden las herramientas de detección de vitalidad

La detección de vida utiliza biometría en tiempo real para determinar si la persona frente a la cámara es real y coincide con la identificación del titular de la cuenta. En teoría, eludir la autenticación se vuelve más difícil, impidiendo que las personas usen fotos o videos antiguos. Sin embargo, ya no es tan efectivo como antes, debido a los deepfakes impulsados ​​por IA. 

Los ciberdelincuentes podrían usar esta tecnología para simular la identidad de personas reales y acelerar el robo de cuentas. Alternativamente, podrían engañar a la herramienta para que verifique una identidad falsa, facilitando así el robo de dinero. 

Los estafadores no necesitan entrenar un modelo para hacer esto; pueden pagar por una versión preentrenada. Una solución de software afirma que puede eludir cinco Una de las herramientas de detección de vida más destacadas que utilizan las empresas fintech para una compra única de $2,000. Abundan los anuncios de herramientas como esta en plataformas como Telegram, lo que demuestra la facilidad con la que se cometen fraudes bancarios modernos.

6. Las identidades de IA facilitan el fraude de cuentas nuevas

Los estafadores pueden usar tecnología generativa para robar la identidad de una persona. En la dark web, muchos sitios ofrecen documentos estatales falsificados, como pasaportes y licencias de conducir. Además, proporcionan selfis y registros financieros falsos. 

Una identidad sintética es una persona inventada que se crea combinando datos reales y falsos. Por ejemplo, el número de la Seguridad Social puede ser real, pero el nombre y la dirección no lo son. Por lo tanto, son más difíciles de detectar con herramientas convencionales. El informe Tendencias de Identidad y Fraude de 2021 muestra aproximadamente... 33% de falsos positivos Equifax ve identidades sintéticas. 

Estafadores profesionales con presupuestos generosos y grandes ambiciones crean nuevas identidades con herramientas generativas. Cultivan la imagen, estableciendo un historial financiero y crediticio. Estas acciones legítimas engañan a los programas de reconocimiento de clientes, lo que les permite pasar desapercibidos. Finalmente, agotan su crédito y desaparecen con ganancias netas positivas. 

Aunque este proceso es más complejo, ocurre de forma pasiva. Algoritmos avanzados, entrenados en técnicas de fraude, pueden reaccionar en tiempo real. Saben cuándo realizar una compra, saldar la deuda de la tarjeta de crédito o solicitar un préstamo como un humano, lo que les ayuda a evitar ser detectados.

Qué pueden hacer los bancos para defenderse de estas estafas de IA

Los consumidores pueden protegerse creando contraseñas complejas y siendo precavidos al compartir información personal o de sus cuentas. Los bancos deberían esforzarse aún más para defenderse del fraude relacionado con la IA, ya que son responsables de proteger y administrar las cuentas.

1. Utilice herramientas de autenticación multifactor

Dado que las deepfakes han comprometido la seguridad biométrica, los bancos deberían recurrir a la autenticación multifactor. Incluso si un estafador logra robar las credenciales de inicio de sesión de alguien, no podrá acceder. 

Las instituciones financieras deberían advertir a sus clientes que nunca compartan su código MFA. La IA es una herramienta poderosa para los ciberdelincuentes, pero no puede eludir de forma fiable las contraseñas seguras de un solo uso. El phishing es una de las pocas maneras en que puede intentarlo.

2. Mejorar los estándares de conocimiento del cliente

KYC es un estándar de servicios financieros que exige a los bancos verificar la identidad, los perfiles de riesgo y los registros financieros de los clientes. Si bien los proveedores de servicios que operan en zonas grises legales no están técnicamente sujetos a KYC, las nuevas normas afectan a las DeFi. no entrará en vigor hasta 2027: es una buena práctica para toda la industria. 

Las identidades sintéticas con historiales de transacciones legítimos y cuidadosamente elaborados durante años son convincentes, pero propensas a errores. Por ejemplo, una simple ingeniería de señales puede obligar a un modelo generativo a revelar su verdadera naturaleza. Los bancos deberían integrar estas técnicas en sus estrategias.

3. Utilice análisis de comportamiento avanzados 

Una buena práctica para combatir la IA es combatir el fuego con fuego. El análisis de comportamiento, impulsado por un sistema de aprendizaje automático, puede recopilar una enorme cantidad de datos de decenas de miles de personas simultáneamente. Puede rastrear todo, desde el movimiento del ratón hasta los registros de acceso con marca de tiempo. Un cambio repentino indica una apropiación indebida de una cuenta. 

Si bien los modelos avanzados pueden imitar los hábitos de compra o crédito de una persona si tienen suficientes datos históricos, no sabrán cómo imitar la velocidad de desplazamiento, los patrones de deslizamiento o los movimientos del mouse, lo que les da a los bancos una ventaja sutil.

4. Realizar evaluaciones de riesgos integrales 

Los bancos deben realizar evaluaciones de riesgos durante la creación de cuentas para prevenir el fraude y denegar el acceso a recursos de las mulas de dinero. Pueden comenzar por buscar discrepancias en el nombre, la dirección y el número de seguro social. 

Aunque las identidades sintéticas son convincentes, no son infalibles. Una búsqueda exhaustiva de registros públicos y redes sociales revelaría que surgieron recientemente. Un profesional podría eliminarlas con el tiempo suficiente, previniendo el robo de dinero y el fraude financiero.

Una retención temporal o un límite de transferencias pendiente de verificación podría evitar que ciberdelincuentes creen y eliminen cuentas masivamente. Si bien hacer el proceso menos intuitivo para los usuarios reales puede generar fricción, podría ahorrarles a los consumidores miles o incluso decenas de miles de dólares a largo plazo.

Cómo proteger a los clientes de las estafas y el fraude relacionados con la IA

La IA representa un grave problema para los bancos y las empresas fintech, ya que los actores maliciosos no necesitan ser expertos, ni siquiera tener grandes conocimientos técnicos, para ejecutar estafas sofisticadas. Además, no necesitan desarrollar un modelo especializado. En cambio, pueden desbloquear una versión de uso general. Dado que estas herramientas son tan accesibles, los bancos deben ser proactivos y diligentes.

Temas relacionados:
mm

Zac Amos es un escritor de tecnología que se enfoca en inteligencia artificial. También es el editor de características de Rehack, donde puedes leer más de su trabajo.