Índice
Las ciberestafas bancarias a empresas que usan la IA para suplantar la voz de gestores financieros son una peligrosa tendencia
En medio de la pandemia, la farmacéutica española Zendal sufrió una ciberestafa por valor de 9 millones de euros. Ciberdelincuentes utilizaron técnicas de ingeniería social para suplantar la identidad del CEO de la compañía y convencer al responsable financiero de que autorizase hasta 20 transferencias bancarias a una supuesta multinacional china con la que habían cerrado un acuerdo.
Este incidente no se trata, por desgracia, de una mera anécdota. Las ciberestafas bancarias a empresas se han multiplicado en el último lustro. Al fin y al cabo, suponen una vía eficaz para que los ciberdelincuentes obtengan lo que más anhelan: ingentes cantidades de dinero.
Ante el alud de ciberestafas a empresas, tanto los negocios como las entidades bancarias han ido implementando medidas para prevenir esta clase de fraude financiero.
Sin embargo, la historia de la ciberseguridad gira en torno al esfuerzo continuo de los expertos de esta área por diseñar técnicas y estrategias que eviten que los malos cumplan sus objetivos y el malévolo impulso innovador de los delincuentes para desarrollar tácticas que les permitan alcanzar sus objetivos.
A raíz de esta lucha sin cuartel, en los últimos meses se ha consolidado una preocupante tendencia: las ciberestafas bancarias a empresas que emplean IA generativa para hacer llamadas falsas a los negocios simulando que el emisor es un profesional de una entidad bancaria al que conocen.
A continuación, te vamos a contar cómo funcionan esta clase de ciberestafas bancarias a empresas y qué pueden hacer los bancos y los negocios para evitarlas.
Las ciberestafas bancarias a empresas son cada vez más sofisticadas: El SMS y el email están muy vistos
El caso del Zendal y otros incidentes que han acaparado la atención de la opinión pública como el fraude contra la EMT de Valencia evidencian que, tradicionalmente, las ciberestafas bancarias a empresas se cocinaban a través del email. Sobre todo, en aquellos casos en los que se empleaban técnicas como el fraude del CEO.
Además, tanto negocios como ciudadanos se han acostumbrado en los últimos años a que les intenten timar mediante SMS supuestamente remitidos por sus entidades bancarias alertándoles de problemas en sus cuentas y remitiéndoles a páginas de acceso a la banca online falsas.
La sofisticación del smishing ha llegado a tal punto que los delincuentes han conseguido que los mensajes maliciosos figuren en la bandeja de entrada de los móviles de sus víctimas como SMS remitidos por conocidos bancos. E, incluso, que los mensajes se incluyan en el hilo de SMS enviados por un banco, entremezclándose, así, con comunicaciones reales, lo que disipa la desconfianza de las víctimas.
En los últimos tiempos, los delincuentes han ido un paso más allá a la hora de diseñar ciberestafas bancarias a empresas y han incorporado nuevas técnicas como los servicios de atención al cliente falsos, las invitaciones a Google Calendar falsas o el uso de IA generativa para hacer deepfakes de voz o audiovisuales y suplantar la identidad de personas como directores financieros de empresas o gestores bancarios.
El lado oscuro de la IA generativa de audio o video: Los deepfakes de voz
La revolución que ha provocado la irrupción de la IA generativa es innegable. Miles de negocios de todos los sectores y tamaños ya emplean sistemas de Inteligencia Artificial en su día a día para automatizar tareas y agilizar procesos. Sin embargo, una tecnología tan poderosa y disruptiva como la IA también se puede emplear de forma perniciosa para diseñar y llevar a cabo ciberestafas bancarias a empresas más difíciles de ser detectadas.
Así, los delincuentes ya están usando IA generativas de voz y video para suplantar la identidad de profesionales como directores de oficinas bancarias o gestores financieros. ¿Con qué fin? Engañar a negocios para que:
- Faciliten datos clave que les permitan acceder a sus cuentas y realizar transferencias y pagos indebidos.
- Lleven a cabo operaciones fraudulentas sin ser conscientes de ello y confiando en el profesional que está al otro lado del teléfono.
Aunque los deepfakes de imagen y sonido son más sencillos de detectar, lo cierto es que los deepfakes de audio ya son, actualmente, muy precisos y los delincuentes son capaces de engañar a sus víctimas. ¿Por qué? Las IA son capaces no solo de emular la voz de una persona, sino también la cadencia con la que hablan o las inflexiones que hacen.
Además, esta clase de ciberestafas bancarias a empresas tienen a su favor que, mientras los emails y los SMS levantan suspicacias, por ahora los profesionales que gestionan las finanzas de las empresas no dudan, por defecto, de la veracidad de las llamadas telefónicas. Menos aún cuando creen reconocer la voz del emisor.
¿Qué están haciendo los bancos para evitar ciberestafas bancarias a empresas?
Habida cuenta del éxito de esta nueva técnica de ciberestafas bancarias a empresas, las principales entidades financieras de nuestro país se han puesto manos a la obra para evitar estos fraudes.
Así, los bancos españoles ya están probando una táctica que, en realidad, tiene siglos de vida: establecer palabras clave que solo conozcan el gestor bancario a cargo de las cuentas y los productos financieros de una empresa y su interlocutor en el negocio.
¿Cuál es el objetivo de usar palabras clave contra la ingeniería social? Que una empresa pueda estar segura de que la llamada que recibe de un profesional de su banco es real.
De esta manera, el profesional del negocio puede hacer, en el transcurso de la llamada, una pregunta a su interlocutor. Y este debe responder con la palabra clave previamente acordada y que se puede dejar registrada en su ficha de cliente.
Por lo tanto, si eres un empresario o un director financiero de una empresa y el banco con el que trabaja tu negocio te sugiere establecer una palabra clave para verificar la identidad de los profesionales de la entidad que te llaman, no dudes en aceptar.
Es un mecanismo de seguridad sencillo pero efectivo que protege a tu negocio ante las ciberestafas bancarias a empresas que recurren a los deepfakes de voz para engañarlas.
¿Qué pueden hacer los negocios para prevenir ciberestafas bancarias a empresas?
Más allá de usar palabras clave pactadas con la entidad bancaria… ¿qué pueden hacer los negocios para evitar ser víctimas de las ciberestafas bancarias a empresas?
La mejor forma de combatir las técnicas de ingeniería social es la formación y concienciación continua de todos los trabajadores y, en especial, de aquellos que tienen la capacidad de acceder a información financiera u ordenar pagos.
Hoy en día, existen múltiples empresas y expertos en ciberseguridad especializados en diseñar e impartir programas de formación adaptados a cada sector económico y a la forma de operar de las empresas. En estos cursos se instruye a las plantillas y a los directivos de las empresas sobre las técnicas empleadas por los delincuentes y se les facilitar un listado de buenas y malas prácticas en ciberseguridad para mitigar los riesgos de ser víctimas de ciberestafas bancarias a empresas y otra clase de ciberataques.
Además, en el caso de las empresas con un elevado nivel de ciberexposición y que cuentan con estrategias de ciberseguridad más avanzadas es recomendable que se sometan a test de ingeniería social. ¿En qué consisten estas pruebas?
Los profesionales que ejecutan esta clase de test emplean las tácticas y técnicas de los delincuentes para intentar engañar a los profesionales del negocio y comprobar si la empresa está preparada para detectar y evitar las ciberestafas bancarias u otros fraudes que emplean técnicas de ingeniería social.
¿Por qué la ingeniería social se ha convertido en una de las grandes amenazas para toda clase de negocios?
Un ataque de ingeniería social puede desencadenar consecuencias gravísimas para una empresa. ¿Por qué? Mediante el engaño es posible forzar a un profesional a realizar una acción que desemboque en:
- Ciberestafas bancarias y otros fraudes financieros.
- Acceso de los delincuentes a software corporativo donde se almacenan datos sobre clientes o ventas.
- El robo de propiedad intelectual o industrial.
- La ejecución de múltiples tipos de malware para secuestrar información (ransomware) o espiar (spyware).
- La parálisis de la actividad del negocio porque se inutilizan activos críticos o es necesario desconectar los sistemas para contener el ataque.
- Vulneración de la normativa de protección de datos por la exfiltración privada de clientes, trabajadores o proveedores.
Esto es así porque la ingeniería social no se emplea solo para cometer fraudes y estafas, sino también para obtener una puerta de acceso a los sistemas y redes de las empresas y, a partir de ahí, realizar nuevos ataques.
En definitiva, el uso malicioso de las IA generativas puede complicar aún más la detección de las ciberestafas bancarias a empresas. Por eso, es fundamental que los negocios se apoyen en los bancos para prevenir estos fraudes empleando estrategias como el establecimiento de palabras clave.
Y, además, deben ser conscientes e la importancia de formar de manera continua a sus trabajadores sobre las técnicas de ingeniería social para evitar que puedan ser engañados por los malos y provocar crisis graves que amenacen la continuidad de negocio o la salud financiera de la empresa.