Hecha la ley, hecha la trampa, así es como toda herramienta también puede ser utilizada como un arma. Con la IA es fácil ver celebridades haciendo o diciendo cosas que nunca dijeron. Del mismo modo no es de extrañarse comprobar que aumentan los fraudes financieros con el transcurso del tiempo. Y ambas cosas pueden suceder juntas. Por ejemplo:
En enero de 2024, una empleada de una empresa con sede en Hong Kong envió 25 millones de dólares a unos estafadores después de que su director financiero le diera instrucciones de hacerlo en una videollamada en la que también participaron otros colegas. Sin embargo, resultó que no estaba en una llamada con ninguna de estas personas: los estafadores crearon una deepfake que replicaba sus imágenes para engañarla y conseguir que enviara el dinero. 1
Un informe de la encuesta sobre fraude y control de pagos de AFP (Association for financial professionals) de 2024 documenta que el 80 % de las organizaciones fueron víctimas de ataques o intentos de fraude de pagos en 2023. Esto representa un aumento de 15 puntos porcentuales con respecto al año anterior. Los cheques siguen siendo el método de pago más vulnerable al fraude : el 65 % de los encuestados afirmaron que sus organizaciones sufrieron ataques de fraude de este tipo. A pesar de la alta tasa en la que los cheques son un objetivo frecuente del fraude en los pagos , el 70 % de las organizaciones que actualmente utilizan cheques no planean dejar de usarlos en los próximos dos años.
Más del 20% de los encuestados denuncian fraude debido a interferencias con el Servicio Postal de los Estados Unidos (USPS), lo que es 10 puntos porcentuales más alto que la proporción informada para 2022. A pesar de las alertas de la Red de Control de Delitos Financieros (FinCEN) sobre el aumento de los intentos de fraude a través de la interceptación de correo, más del 80% de los encuestados indican que sus organizaciones aún envían cheques a través del Servicio Postal de los Estados Unidos (USPS), sin seguimiento.
Los créditos ACH (Automated Clearing House) han superado a las transferencias bancarias como el método más vulnerable al fraude BEC, según la encuesta. Esto implica que los delincuentes están concentrando más sus esfuerzos en este tipo de transacciones electrónicas.
Las principales estadísticas que mencionas son:
Créditos ACH: 47% de los ataques
Transferencias bancarias: 39% de los ataques
Débitos ACH: 20% de los ataques
Este cambio sugiere que los sistemas de ACH, que generalmente permiten transferencias electrónicas entre bancos en EE.UU., están siendo atacados más frecuentemente, probablemente por la facilidad con la que se pueden procesar grandes volúmenes de transacciones, sumado a las lagunas en seguridad o en los controles que los delincuentes explotan.
BEC
El Business Email Compromise (BEC) es un tipo de fraude cibernético en el que los atacantes manipulan o suplantan la identidad de correos electrónicos de empresas para engañar a empleados, socios o proveedores y lograr transferencias ilegítimas de dinero o la divulgación de información sensible. Generalmente, estos ataques apuntan a altos ejecutivos o empleados de departamentos financieros con acceso a las finanzas de la empresa.
Cómo funciona BEC
1. Suplantación de identidad (Spoofing): Los atacantes falsifican la dirección de correo electrónico de un ejecutivo (CEO, CFO) o de un proveedor legítimo. Usan correos electrónicos muy similares a los reales o comprometen las cuentas genuinas de la empresa.
2. Ingeniería social: Los atacantes suelen investigar a fondo a la empresa objetivo, obteniendo detalles como relaciones comerciales, jerarquías internas o procedimientos financieros. Luego, envían correos electrónicos que parecen legítimos, pidiendo transferencias urgentes o cambios en las cuentas de pago.
3. Redirección de pagos: El objetivo principal es engañar a los empleados para que envíen dinero a cuentas controladas por los atacantes. A menudo, los correos electrónicos falsos indican que un proveedor cambió su cuenta bancaria o que se necesita una transferencia inmediata por razones de emergencia.
La otra cara de la moneda IA
De las organizaciones que fueron víctimas de fraudes de pagos en 2023, el 30 % no logró recuperar los fondos perdidos. Sin embargo, el 41 % de las organizaciones logró recuperar al menos el 75 % de los fondos perdidos. Y esto último ha sido posible gracias a la ayuda de la IA(2)
Un cambio de moda y tendencias
En pasadas décadas estuvo de moda los ataques cibernéticos que buscaban huecos en los firewalls de las empresas. Como toda moda, esta no muere, quizás se convierte en un clásico, pero perdura.
Fraudes e inteligencia artificial. Amobs conceptos desepeñan un papel cada vez más importante en la seguridad. Por el lado del fraude nos encontramos con deepfakes, pishing y spear pishing mejorados, generación automática de textos en catbots fraudulentos, fraudes financieros automatizados y suplatación de personas principalmente por voz.
En la actualidad, sucede que, la protección contra fraudes es algo tan dinámico como el ataque de los hackers. Tan dinámico que hay tanto sectores de seguridad dentro de empresas y coorporaciones destinados a controlar estos temas como empresas cuyo core business es la seguridad. En lo que hace a la nueva moda, la de los "deep-fake", en la que se centra este artículo, las tendencias son muy ambiguas.
Y esto es porque si bien los estafadores utilizan IA para mejorar sus tácticas, las empresas también utilizan IA para contrarrestar el fraude, principalmente por medio de detección de patrones anómalos, autenticación avanzada y otras estrategias cada vez más avanzadas.
Fraudes e inteligencia artificial
Los reguladores se centran en las promesas y las amenazas de la IA generativa junto con el sector bancario. Los bancos deberían participar activamente en el desarrollo de nuevos estándares para el sector. Al implementar el cumplimiento normativo en una etapa temprana del desarrollo de la tecnología, pueden tener un registro de sus procesos y sistemas preparado en caso de que los reguladores lo necesiten.(3)
Por último, los bancos deberían invertir en la contratación de nuevos talentos y en la formación de los empleados actuales para detectar, detener y denunciar el fraude asistido por IA.
La detección de fraudes ya tiene su historia tanto a nivel científico como empresarial.(4). Algo de esto he compartido en mi blog hablando de la ley de Benford.
Para muchos bancos, estas inversiones serán caras y difíciles; se producen en un momento en el que algunos directivos bancarios están dando prioridad a la gestión de costes. Pero para mantenerse por delante de los defraudadores, se debe priorizar la formación exhaustiva. Los bancos también pueden centrarse en el desarrollo de un nuevo software de detección de fraudes utilizando equipos de ingeniería internos, proveedores externos y empleados contratados, lo que puede ayudar a fomentar una cultura de aprendizaje y adaptación continuos.
Comments