Contáctanos

Robo de Identidad en 2026

Noti 375 – mayo de 2026

Conceptos a Considerar

Bust Out: es un tipo de fraude crediticio en el que el defraudador suplanta a una persona real, construye un historial crediticio y, luego de un tiempo, realiza créditos, agota cupos de tarjetas de crédito y desaparece.

Liveness Spoofing Videos: técnica para engañar a los sistemas de reconocimiento facial o biométrico, mediante la presentación de una foto en alta definición o la inserción de un rostro digital en la señal de video.

inteligencia_1

Imagen de Canva.

El primer caso de uso de IA para defraudar a una compañía se registró oficialmente en el año 2019, en Europa. Mediante la manipulación digital de la voz, se indujo al error a un empleado de una empresa, para girar dinero a otra, en la creencia de estar recibiendo la orden directamente de su jefe. Luego, la situación de confinamiento creada por la pandemia facilitó la labor de los suplantadores de identidad, ya que como durante algún tiempo todos estuvimos encerrados, muchas organizaciones debieron modificar sus procesos de pago, sin desarrollar estrategias acordes de verificación de identidad. Dicha facilidad produjo una ralentización del desarrollo de esta forma de fraude, ya que los delincuentes no tuvieron que esforzarse demasiado en esta época anormal, para engañar a las personas mediante la suplantación.

El fin de la pandemia trajo consigo un renacer de la economía, un enorme incremento en el gasto de las personas y un crecimiento en la producción de bienes y el ofrecimiento de servicios. Con ello, también se aumentó la actividad de los defraudadores, quienes se han convertido casi que en un indicador de la “salud” de una economía, teniendo sus mismos lapsos de altas y bajas en su actividad. Es de anotar, además, que durante el inicio de los años 20 de este siglo se produjeron notables desarrollos en materia de comunicaciones remotas; así como la consolidación del crecimiento de la denominada Inteligencia Artificial, sacando dicho concepto de los laboratorios y acercándolo más al común de las personas, quienes ahora podían hacer un uso limitado de sus posibilidades, especialmente como fuente de consulta. Ocurre que, además de este uso obvio y por demás primitivo de dicha herramienta, su incursión en el mundo de la tecnología abrió otro abanico de posibilidades de uso, como apoyo en evaluación de proyectos, labores de comparación de textos, de literatura, de casos médicos, de legislación y jurisprudencia, para mencionar solo algunos. De forma paralela, subrepticia, otras personas pensaban cómo aprovechar estas nuevas posibilidades, ya no para beneficiarse de su capacidad de análisis, sino para engañar y obtener provecho indebido de sus productos.

Uno de ellos era la capacidad de imitar la voz e incluso la apariencia de otras personas, lo que inicialmente se hacía con fines humorísticos o en forma de bromas pesadas, haciendo parecer que un determinado individuo hacía o decía cosas que jamás habría realizado de forma voluntaria. En esta edad de piedra de la suplantación, lo que se denominaba Deepfake y synthetic voice rápidamente evolucionaron a las formas sofisticadas que vemos hoy. Ya en

2024 hubo un notorio caso de suplantación, en el cual los delincuentes realizaron una videoconferencia con la participación de un solo empleado real de una corporación, más la asistencia de hasta seis personajes falsos, creados con IA, que simulaban ser otros tantos empleados de dicha organización. Tan convincente fue la falsa reunión, que el empleado real terminó aprobando transferencias por más de 26 millones de dólares. Acá confluyeron dos circunstancias específicas: primero, la denominada ingeniería social avanzada, mediante la cual los delincuentes tuvieron acceso a los procedimientos internos de la empresa, información que les permitió engañar al empleado; y, segunda, el conocimiento de que este empleado podía autorizar giros por grandes sumas de dinero, sin otra verificación y autorización que su propia firma. De nuevo, la IA no hubiera podido engañar a la empresa, de no existir esta enorme debilidad en los procesos internos de dicha entidad.

Se ha producido un cambio en la modalidad. Ya no se trata de decodificar contraseñas o implantar malware. De lo que se trata ahora es de combinar la tecnología con el comportamiento humano, lo que en corto plazo nos llevará a no poder confiar en nadie que no tengamos presente ante nosotros. Y no es histeria, las campañas publicitarias telefónicas, las llamadas de los proveedores de servicios públicos o privados, las mismas entidades del gobierno, están enfrentándose al escepticismo de las personas que deben contactar para realizar cualquier tipo de interacción, sea esta programar una visita para reparar el internet, notificar de una cita médica, informar de un trámite que requiere atención, cualquiera que sea el escenario enfrenta en estos momentos la incredulidad por parte del usuario; y no es para menos. En respuesta a esto, las estrategias de gestión de riesgos tienen la obligación de cambiar. La interacción de Inteligencia Artificial, tecnología deepfake, hurto de credenciales y bandas internacionales de delincuentes, ha elevado a la categoría de arte este tipo de ataques.

ROBO DE IDENTIDAD Y DEEPFAKE HOY

En el caso del deepfake, se puede apreciar cómo las emociones humanas pueden ser utilizadas en contra de las víctimas, logrando que ellas entreguen de manera voluntaria su dinero o su información financiera, creyendo que al obrar así salvan a un familiar o a otra persona vulnerable. Por su parte, las empresas que usan los denominados BOT para la realización de ciertas tareas, no suelen ser demasiado estrictas con la seguridad de las autorizaciones otorgadas a dichas entidades virtuales, abriendo una enorme ventana de oportunidad para los ciber criminales, que pueden engañar fácilmente a estas aplicaciones, cuando no han sido debidamente diseñadas o “entrenadas” para detectar intentos de fraude. Es el caso de los agentes virtuales, que interactúan con clientes reales para la supuesta agilización de cierto tipo de trámites, como lo hacen aerolíneas, compañías de seguros al suscribir pólizas o atender siniestros, empresas financieras que encargan a una de estas entidades el análisis de una solicitud de crédito; y tantas otras. En consecuencia, los auditores y el personal de gestión de riesgos de las empresas deben adaptar sus protocolos de monitoreo, para asegurar la confiabilidad de las actividades humanas y no humanas relacionadas con cada empresa.

EL FRAUDE POR SUPLANTACIÓN DE IDENTIDAD HOY

Actualmente los defraudadores prefieren acceder a los sistemas de sus víctimas mediante el uso de credenciales válidas (hurtadas o manipuladas), en lugar de invertir tiempo y recursos hackeando las mismas. Para ello recurren al mercado negro de credenciales robadas, usualmente a la venta en el misterioso submundo de la Web oscura, lugar siniestro al que se supone han llegado los más de 400 millones de datos extraídos de las compañías de seguros, bancos, entidades del estado y corporaciones en general, solo en el año 2025.

Una vez adentro del sistema de su víctima, no les corre ninguna prisa por aprovechar su ingreso, pudiendo permanecer meses o incluso años, acopiando información o cometiendo pequeños hurtos, indetectables si no se sabe qué se busca, hasta que llega el momento de dar el gran golpe. Ya estando adentro, proceden a crear lo que se denomina como una «cuenta sintética”, perfil financiero aparentemente real y perteneciente a la empresa víctima, pero en realidad manejada por el delincuente. Desde esta cuenta se puede generar con el tiempo un historial de crédito, para luego obtener un préstamo bancario considerable y huir con el dinero, dejando a la víctima con la deuda, en una movida conocida como “Bust Out”.

La IA generativa ha hecho de los deepfakes y los denominados “Liveness Spoofing videos” (técnica para engañar a los sistemas de reconocimiento facial o biométrico, mediante la presentación de una foto en alta definición o la inserción de un rostro digital en la señal de video), sean una realidad y no una curiosidad aislada, capaz de engañar a cualquier esquema de identificación biométrica que use un solo factor de autenticación.

Continuará…

fraude informatico

Imagen de Canva.

Por: Alejandro Morates
Gerente
ASR S.A.S.

Medellín, Colombia
+573103923352 – 3233453366
asr@asr.com.co