Durante el último año, Microsoft frustró intentos de fraude por un monto aproximado de 4 mil millones de dólares en el mercado global, donde bloqueó mil 600 millones de intentos de registro de bots probablemente fraudulentos cada hora y rechazó 49 mil inscripciones falsas de sociedades.
“Como la IA reduce la barrera de entrada, incluso los atacantes con poca habilidad pueden generar fraudes atractivos, que van desde phishing con deepfakes hasta sitios web falsos que imitan negocios legítimos. Lo que antes tomaba días o semanas a los estafadores, ahora lleva minutos”, reveló el informe “Engaño impulsado por IA: amenazas de fraude emergentes y contramedidas”.
El documento elaborado por el equipo de Microsoft Security sugiere que “las estafas impulsadas por IA están en aumento” y están presentes en áreas como comercio electrónico, empleo y soporte técnico, por lo que el gigante digital sugiere “jugar a la defensiva”.
“Las herramientas de IA pueden escanear y ´raspar´ la web en busca de información de la empresa, lo que ayuda a los ciberatacantes a crear perfiles detallados de los empleados u otros objetivos para crear señuelos de ingeniería social altamente convincentes”.
Los delincuentes inducen a sus víctimas a esquemas de fraude cada vez más complejos por medio de reseñas de productos falsos, sitios web completos y marcas de comercio electrónico, con historiales comerciales falsos y testimonios de clientes todos falsos, creados por IA.
Mediante el uso de deepfakes, clonación de voz, correos electrónicos de phishing y sitios web falsos de aspecto auténtico, los delincuentes crean engaños a mayor escala, con el agravante de que las herramientas están disponibles para cualquiera, son cada vez más baratas y no exigen conocimientos técnicos para usarlas.
Según el equipo antifraude de Microsoft, los ataques de fraude impulsados por IA ocurren a nivel mundial, y gran parte de la actividad proviene de China y Europa, especialmente Alemania que es el país con mayor volumen de comercio digital.
A mayor actividad, mayor riesgo. “Los sitios web de comercio electrónico fraudulentos se pueden configurar en minutos por medio de IA y otras herramientas que requieren un conocimiento técnico mínimo”.
Con estas herramientas, se pueden generar descripciones de productos, imágenes y reseñas de clientes que engañan a las víctimas para que crean que interactúan con un comerciante genuino.
“Los chatbots de servicio al cliente impulsados por IA, agregan otra capa de engaño al interactuar de manera convincente”. Estos bots pueden retrasar las devoluciones de cargos al detener a los clientes con excusas programadas y manipular las quejas con respuestas generadas por IA, que hacen que los sitios fraudulentos parezcan profesionales.
También se ha detectado este tipo de comportamiento delictivo en sitios de búsqueda de empleo, donde se aprovechan de la necesidad de las personas para obtener de ellas información que no deberían compartir, pero al hacerse pasar por un potencial empleador, quien busca trabajo a veces cae en el engaño y es defraudado.
Otra de las tendencias actuales es que los delincuentes se hacen pasar por el personal de servicio técnico tanto en grandes empresas, lo que lleva a sustraer información de las personas que caen en el engaño y donde la ingeniería social se ha visto potenciada por la IA, gracias a que esta herramienta logra obtener mucha información de las víctimas.
“Las estafas de soporte técnico son un caso con riesgos de fraude elevados, incluso si la IA no desempeña un papel. Por ejemplo, a mediados de abril de 2024, Microsoft Threat Intelligence descubrió que el grupo de ciberdelincuentes Storm-1811, con motivaciones financieras y centrado en el ransomware, abusaba del software Windows Quick Assist haciéndose pasar por soporte informático”.
En estos ataques, Microsoft no supervisa el uso de IA, pero Storm-1811 se hizo pasar por organizaciones legítimas a través de phishing de voz como una forma de ingeniería social, que convence a las víctimas de otorgar acceso al dispositivo a través de Quick Assist.
Lo mejor es implementar una estrategia “a la defensiva”; no dejarse engañar por ofertas “de tiempo limitado”; verificar los nombres de dominio de las tiendas de comercio electrónico y “ser escéptico con las pruebas sociales”, porque los estafadores pueden usar reseñas generadas por IA, supuestos influencers y testimonios para ganarse la confianza de las víctimas.
Al buscar empleo, la recomendación no es compartir información personal, especialmente si el contacto del supuesto empleador llega a través de mensajes de SMS, WhatsApp o correo electrónico personal. “Las ofertas laborales que piden un pago y parecen demasiado buenas para ser verdad o carecen de plataformas de comunicación formales, pueden ser señales de fraude”.
Al respecto, el gigante digital detalló que ahora ha incluido funciones y herramientas gratuitas en sus productos, para detectar comportamientos maliciosos, bloquear intentos de fraude y evitar la penetración de los sistemas, si bien lo más importante es que el usuario se mantenga siempre alerta.
C$T-EVP
