Ingeniería social 2.0: Cómo la IA redefine el fraude financiero
Temporada 6 Episodio 06
Transcripción
Juan José Ríos (Host):
Mundo Financiero Seguro, tu espacio para estar a la vanguardia en ciberseguridad, prevención de fraude, AML, fintech y gestión de riesgos.
Descubre las últimas amenazas, innovaciones y herramientas clave para construir un futuro financiero más seguro. Únete a la conversación y transforma los desafíos en oportunidades.
La inteligencia artificial ha irrumpido en el ecosistema tecnológico con una velocidad e impacto que superan olas de innovación anteriores, desde la adopción del Big Data hasta los inicios de la ciberseguridad moderna. Hoy, organizaciones de todos los tamaños comienzan a confiar en sistemas basados en inteligencia artificial para automatizar procesos, optimizar flujos de trabajo y responder en tiempo real a incidentes de seguridad.
Sin embargo, esta misma sofisticación también ha sido adoptada por los atacantes, quienes emplean inteligencia artificial para perfeccionar sus técnicas: desde deepfakes hiperrealistas hasta bots conversacionales que escalan ataques de phishing y spear phishing con niveles de personalización sin precedentes.
Soy Juan José Ríos y les doy la bienvenida a Mundo Financiero Seguro, el podcast de Plus TI.
En este episodio abordaremos dos grandes líneas de reflexión. Primero, analizaremos si en la era de la inteligencia artificial nuestras defensas son realmente más robustas o si, por el contrario, seguimos expuestos a riesgos que evolucionan al mismo ritmo que la tecnología. Segundo, exploraremos cómo la inteligencia artificial ha redefinido los ataques de ingeniería social.
Nos acompañan hoy Deepak Daswani, experto en ciberseguridad, ingeniero en informática y hacker ético reconocido en España e internacionalmente; y Álvaro Arzayus, gerente de producto de prevención de fraude digital en Plus TI. Gracias a ambos por acompañarnos.
Deepak Daswani:
Gracias, Juan José. La tecnología evoluciona constantemente y cada cambio, cada innovación, implica un riesgo. A menudo olvidamos que la tecnología nunca es 100 % segura porque está creada por personas. Aunque existan ciclos de desarrollo seguro, políticas y directrices para minimizar vulnerabilidades, siempre existe la posibilidad de introducir errores o fallos que, con el tiempo, se convierten en riesgos para las organizaciones.
Además, la velocidad a la que evoluciona la tecnología suele ser mayor que la capacidad de adaptación de las organizaciones y de los profesionales. Esto provoca que muchas soluciones se implementen sin las medidas de seguridad adecuadas, exponiendo sistemas críticos.
Por otro lado, las tecnologías nuevas suelen ser menos maduras y, en muchos casos, al adoptarlas se descuida la infraestructura existente. En el mundo del hacking, a esto se le conoce como low hanging fruit: sistemas antiguos, obsoletos o poco mantenidos que los atacantes explotan porque ya no reciben la atención prioritaria de la organización.
Todo esto hace que la evolución tecnológica, paradójicamente, pueda aumentar nuestra vulnerabilidad.
Juan José Ríos:
Álvaro, si a esto le sumamos que hoy la inteligencia artificial permite adaptar los ataques al perfil exacto de la víctima, ya no hablamos solo de cantidad, sino de calidad en el engaño. ¿Cómo potencia la IA la personalización en la ingeniería social?
Álvaro Arzayus:
La inteligencia artificial ha revolucionado la ingeniería social a través de lo que llamamos hiperpersonalización. Los mensajes fraudulentos que antes eran genéricos, mal redactados o con errores evidentes, hoy pueden parecer completamente auténticos.
Gracias a tecnologías como el procesamiento de lenguaje natural, los atacantes pueden analizar grandes volúmenes de datos públicos y privados: redes sociales, correos filtrados, foros o blogs. Con esta información construyen perfiles psicológicos y profesionales muy detallados de sus víctimas.
Estos perfiles incluyen hábitos, tono de comunicación, temas de interés, estructura organizacional, apodos internos y rutinas cotidianas. Con ello, los delincuentes generan mensajes que imitan no solo el contenido, sino también el estilo de comunicación de una persona específica, como un jefe directo o un socio de negocios.
La inteligencia artificial además permite perfeccionar estos mensajes en tiempo real, corrigiendo errores y haciendo que parezcan cada vez más legítimos. Esto dificulta enormemente la detección por parte de filtros tradicionales y convierte a estos ataques en una de las amenazas más complejas de mitigar actualmente.
Juan José Ríos:
Deepak, con toda tu experiencia, ¿por qué siguen ocurriendo incidentes si la tecnología hoy es, entre comillas, más segura por defecto?
Deepak Daswani:
Es una paradoja interesante. Hace diez años, los desarrolladores introducían vulnerabilidades técnicas de forma inadvertida: inyecciones, cross-site scripting, fallos de configuración, entre otras. Hoy, los frameworks modernos ya incorporan mecanismos para evitar muchas de estas vulnerabilidades por defecto.
Esto significa que incluso un programador junior puede desarrollar aplicaciones relativamente seguras sin un profundo conocimiento en ciberseguridad. Las barreras técnicas han aumentado. Sin embargo, los incidentes continúan ocurriendo, y en muchos casos incluso en mayor volumen.
¿Por qué? Porque los incidentes suelen ser una combinación de fallos técnicos y errores humanos. Configuraciones inseguras, contraseñas por defecto, servicios expuestos sin autenticación o procesos mal gestionados siguen siendo puntos críticos.
Además, aunque los usuarios están cada vez más concienciados sobre el phishing, la inteligencia artificial ha elevado tanto el nivel de sofisticación que resulta cada vez más difícil detectar un engaño, incluso para personas capacitadas.
Juan José Ríos:
Álvaro, hablemos de los deepfakes. ¿Qué son exactamente y cómo los están utilizando los ciberdelincuentes?
Álvaro Arzayus:
Los deepfakes son contenidos audiovisuales generados o manipulados mediante inteligencia artificial, capaces de replicar con gran fidelidad la voz, los gestos y las expresiones faciales de una persona. Con apenas unos segundos de audio o video, estos modelos pueden crear representaciones falsas extremadamente realistas.
En el contexto del fraude financiero, los delincuentes utilizan deepfakes para suplantar identidades de figuras de autoridad: directivos, gerentes, socios o incluso familiares. Un ejemplo común es el llamado “fraude del CEO”, donde un empleado recibe una instrucción aparentemente directa de su jefe para realizar una transferencia urgente.
El peligro radica en que ya no se trata de correos mal escritos o llamadas sospechosas. Las víctimas ven y escuchan lo que parece una comunicación legítima, lo que incluso puede engañar a personas entrenadas en seguridad.
Juan José Ríos:
Deepak, ¿por qué la inteligencia artificial no es una solución mágica para eliminar la vulnerabilidad?
Deepak Daswani:
La inteligencia artificial es una herramienta poderosa, pero sigue siendo solo eso: una herramienta más dentro del tablero. La utilizan tanto los atacantes para sofisticar sus técnicas como los defensores para detectar amenazas, analizar patrones y mejorar la respuesta ante incidentes.
No aplicar inteligencia artificial te deja atrás, pero aplicarla tampoco garantiza estar del lado ganador. No elimina el riesgo ni evita que los incidentes ocurran; simplemente añade una ventaja competitiva más en una partida donde ambos bandos evolucionan constantemente.
Álvaro Arzayus:
Hoy contamos también con mecanismos de defensa más silenciosos, como la autenticación pasiva y el análisis de comportamiento. Estas tecnologías funcionan en segundo plano, sin fricción para el usuario, analizando patrones como el dispositivo, la ubicación, la forma de escribir o interactuar.
Combinadas con modelos de machine learning, permiten detectar anomalías en tiempo real y prevenir fraudes incluso antes de que se concreten. Son componentes clave dentro de una estrategia de seguridad multicapa, donde múltiples controles actúan de forma complementaria.
Deepak Daswani:
Seguimos siendo vulnerables en la era de la inteligencia artificial, aunque de formas distintas. Los sistemas son más seguros por defecto, pero nuestra dependencia de la tecnología es mayor, lo que amplía la superficie de exposición. Estamos más protegidos técnicamente, pero también más interconectados y, por tanto, más expuestos.
Álvaro Arzayus:
La inteligencia artificial ha redefinido la ingeniería social, haciendo que la línea entre lo real y lo falso sea cada vez más difusa. Sin embargo, también contamos con herramientas defensivas avanzadas. La clave está en utilizarlas dentro de una estrategia integral que combine tecnología, procesos y personas.
Juan José Ríos:
La inteligencia artificial puede acelerar nuestra defensa, pero no sustituye la necesidad de una cultura de seguridad y una disciplina operativa sólida. Solo con una arquitectura de defensa en profundidad, que integre tecnología, procesos y personas, el sector financiero podrá mitigar los riesgos emergentes y proteger sus activos y su reputación.
Gracias a nuestros invitados y a ustedes por acompañarnos en Mundo Financiero Seguro, el podcast de Plus TI. Soy Juan José Ríos. Hasta la próxima.
