¡Las estafas de phishing están evolucionando! El aprendizaje automático genera correos electrónicos y llamadas de voz increíblemente realistas para robar dinero. Descubre cómo protegerte a ti y a tu empresa de estas amenazas multilingües.
Los correos electrónicos de phishing han sido durante mucho tiempo una de las herramientas favoritas de los ciberdelincuentes que buscan robar información financiera, pero a medida que evoluciona la tecnología, también lo hacen sus tácticas. Una de las nuevas tendencias más alarmantes es el uso del Aprendizaje Automático (AA) para llevar a cabo sofisticadas estafas multilingües.
Gracias a esta tecnología, los estafadores pueden elaborar mensajes convincentes y personalizados dirigidos a víctimas de todo el mundo, eludiendo las medidas de seguridad tradicionales. Por tanto, las señales de alerta, como las incorrecciones gramaticales o una redacción deficiente, han pasado a la historia.
Este artículo explora cómo los estafadores utilizan el AA para llevar a cabo sus fraudes a través del correo electrónico corporativo comprometido (BEC, por sus siglas en inglés, Business Email Compromise) y las estafas de voz. Sigue leyendo para conocer nuestros consejos sobre cómo protegerte a ti y a tu empresa de estas amenazas en aumento.
En qué consisten las estafas de BEC
El correo electrónico corporativo comprometido (BEC) es una estafa en la que los ciberdelincuentes utilizan el correo electrónico para engañar a las organizaciones y que estas transfieran dinero o compartan información confidencial. Estos ataques suelen consistir en suplantar la identidad de personas de confianza dentro de la empresa, como directores generales, directores financieros o proveedores conocidos, para engañar a sus víctimas.
Los estafadores investigan la organización que deciden atacar y a las personas que ocupan los puestos clave para crear correos electrónicos convincentes. Pueden obtener acceso no autorizado a cuentas de correo electrónico reales o falsificar direcciones de correo electrónico para que parezcan auténticas.
Los correos electrónicos fraudulentos suelen solicitar:
- Transferencias bancarias: instrucciones para transferir dinero a una cuenta controlada por el estafador.
- • Cambios de datos bancarios: solicitudes para actualizar los datos de pago para futuras transacciones, que redirigen los fondos a la cuenta del estafador.
- • Información sensible: demandas de información confidencial de la empresa (por ejemplo, datos fiscales de los empleados o registros financieros).
El BEC es especialmente peligroso porque no depende de software maliciosos ni de enlaces de phishing, sino que todo lo que necesitan los atacantes es una cuenta de correo electrónico y técnicas de ingeniería social.
El verdadero coste de las estafas de BEC
Los ataques de BEC pueden ocasionar graves pérdidas económicas y filtraciones de datos. Basta con echar un vistazo a esta asombrosa cifra facilitada por el FBI: las estafas de BEC han drenado más de 43 000 millones de dólares de las empresas en los últimos años.
Es posible que hayas oído hablar de los grupos «Midnight Hedgehog» y «Mandarin Capybara». El primero se vale de la suplantación de identidad por correo electrónico para engañar a los ejecutivos y hacerles pagar por servicios inexistentes, mientras que el segundo está especializado en el desvío de nóminas.
Por ejemplo, uno de los modelos de estafa de «Midnight Hedgehog» consiste en que el «director general» solicita urgentemente un pago de entre 17 000 y 45 000 dólares a una empresa del Reino Unido. ¿Dónde está el truco? El correo electrónico está escrito en varios idiomas para que alguno de ellos coincida con la ubicación y la lengua materna de la víctima.
En conjunto, estos grupos han lanzado ataques de BEC en más de una decena de idiomas, entre ellos danés, neerlandés, estonio, francés, alemán, húngaro, italiano, noruego, polaco, portugués, español y sueco. Una hazaña lograda mediante herramientas de traducción y tecnologías de aprendizaje automático (AA).
Cómo están mejorando las tácticas de estafa por correo electrónico
Así es como los estafadores están utilizando herramientas impulsadas por el AA para hacer sus estafas más convincentes:
- • Generación de texto realista: los estafadores entrenan modelos con grandes conjuntos de datos para redactar correos electrónicos con un lenguaje que suene natural. Son capaces incluso de replicar el tono y el estilo de personas concretas, como tu jefe.
- • Traducción y localización automatizadas: algoritmos avanzados traducen los correos electrónicos fraudulentos a diferentes idiomas respetando a la perfección los matices culturales y las expresiones idiomáticas.
- Personalización: el AA puede personalizar los correos electrónicos fraudulentos con detalles sobre el destinatario, obtenidos de las redes sociales u otras fuentes. De este modo, los correos electrónicos parecen más creíbles y menos sospechosos.
Estas tácticas funcionan. Los empleados reciben mensajes bien elaborados y redactados en su idioma, con una ortografía y una gramática perfectas. Además, proceden de un emisor de confianza (por ejemplo, su jefe) e incluso utilizan el estilo de escritura del remitente.
Es fácil ver cómo estas estafas pueden engañar a las personas para que sigan sus instrucciones, lo que supone un riesgo importante para las empresas.
Más allá de los correos electrónicos: estafas de voz habilitadas por IA
El AA no se limita a los correos electrónicos: también está impulsando una nueva oleada de estafas de voz. Los estafadores tan solo necesitan unos segundos de audio para crear clones de voz realistas con los que realizar llamadas fraudulentas.
Las estafas a través de llamadas tradicionales consisten en robollamadas que se hacen pasar por proveedores de servicios de salud o agencias tributarias. Las estafas de voz habilitadas por inteligencia artificial han llevado el método un paso más allá. Utilizan voces clonadas para hacerse pasar por personas cercanas a ti y aprovechar tus vínculos emocionales para obtener beneficios económicos.
Imagina la siguiente situación: recibes una llamada de alguien con la voz de tu hijo que te pide dinero para escapar de una emergencia grave. Lo más probable es que actúes rápidamente para ayudarle.
Estas estadísticas de la encuesta de MacAfee hablan por sí solas:
- el 77 % de las personas estafadas mediante llamadas con inteligencia artificial perdió dinero.
- Más de un tercio de estas víctimas perdió más de 1000 dólares.
- El 45 % de los adultos admitió que respondería a un mensaje de voz de un ser querido en el que le pidieran dinero.
- El 48 % accedería a enviar dinero si recibiera un mensaje en el que se afirmara que un amigo o familiar había sufrido un accidente de tráfico.
Cómo protegerte de las estafas en evolución
La buena noticia es que, aunque los estafadores cada vez son más hábiles, las medidas que adoptes para defenderte pueden ser igual de eficaces. A continuación, te mostramos algunas estrategias para proteger a tus empleados y tus datos del fraude digital
- Filtrado avanzado del correo electrónico
Invierte en soluciones impulsadas por el AA para identificar patrones de phishing incluso en varios idiomas. Así se bloqueará el contenido malicioso antes de que llegue a tus empleados.
- Forma a tus empleados
Saber es poder. Organiza sesiones de formación para concienciarles sobre los riesgos del phishing. Asegúrate de que los materiales didácticos estén disponibles en diferentes idiomas para todos tus empleados.
- Implanta un proceso de doble aprobación
Aumenta la seguridad exigiendo una autorización doble para las grandes transacciones financieras.
- Vigilancia constante
Realiza auditorías de seguridad periódicas para encontrar y corregir las vulnerabilidades de tus sistemas de correo electrónico, y mantén actualizados tus protocolos de seguridad para reducir al mínimo los riesgos de ataque.
Las ciberamenazas son globales y el aumento de las estafas multilingües subraya la necesidad de protegernos. La asociación con un proveedor de servicios lingüísticos de confianza es más importante que nunca. Podemos ayudarte a crear materiales didácticos multilingües y a detectar correos electrónicos sospechosos, lo que garantizará que tu empresa vaya un paso por delante de los ciberdelincuentes.
