No es secreto que la rápida digitalización de la sociedad ha transformado profundamente las relaciones personales y comerciales. Los estudios muestran que, en 2024, las pérdidas financieras causadas por fraudes en línea alcanzaron los 10.100 millones de reales, un aumento del 171% en relación al año anterior.
Sin embargo, esta transformación también amplió la superficie de ataque para los ciberdelincuentes, que dependen cada vez más de la ingeniería social para ejecutar esquemas fraudulentos sofisticados.
Entre los más comunes se encuentran el phishing, smishing y vishing —prácticas que, aunque difieren en los métodos utilizados, comparten el mismo objetivo: engañar a las víctimas para robar información confidencial, especialmente credenciales de acceso. Si bien tradicionalmente se asocian a estafas contra consumidores, estas formas de ingeniería social también son altamente efectivas en el entorno corporativo. Los estafadores apuntan a empresas para obtener acceso a sistemas internos, comprometer cadenas de suministro y ejecutar fraudes financieros a gran escala.
¿Son phishing, smishing y vishing las mismas amenazas?
Para empezar la explicación, es importante entender que el término ingeniería social se refiere a un conjunto de técnicas utilizadas por estafadores para manipular emocional y socialmente a las víctimas, llevándolas a actuar en contra de sus propios intereses y comprometiendo su seguridad.
El phishing es el tipo de fraude más conocido de este tipo. Los kits de phishing por correo electrónico se pueden encontrar en la dark web. Para aquellos estafadores que no son expertos en el tema, hay quienes ejecutan el servicio por ellos. Generalmente implica el envío de correos electrónicos o mensajes que se hacen pasar por instituciones confiables, como bancos, minoristas o servicios online.
El objetivo es engañar al destinatario para que haga clic en enlaces maliciosos que conducen a sitios web falsos, muy similares a los originales, con el propósito de capturar contraseñas y otra información confidencial, como números de documentos o datos de tarjetas de crédito. Según datos del Serpro, el phishing sigue siendo uno de los tipos de fraude más frecuentes en Brasil, y los criminales están mejorando sus estrategias con el uso de inteligencia artificial (IA) y deepfakes para crear contenido aún más convincente y personalizado. Un caso reciente fue la detención de un hombre por su participación en un grupo criminal que aplicaba estafas utilizando vídeos manipulados con deepfake, con la imagen y voz del presentador Marcos Mion.
Los estafadores también realizan fraudes como el Business Email Compromise (BEC) y el fraude del falso director ejecutivo, con correos electrónicos que se hacen pasar por ejecutivos para inducir a los empleados a transferir dinero o proporcionar credenciales.
Por otro lado, el smishing (combinación de SMS y phishing) utiliza mensajes de texto para engañar a las víctimas. Con la popularización de aplicaciones de mensajería como WhatsApp y Telegram, este método ha ganado fuerza, aprovechando la tendencia de las personas a responder rápidamente a mensajes que parecen urgentes o importantes.
El vishing (phishing por voz) se realiza por medio de llamadas telefónicas, en las que el estafador se hace pasar por un representante de una empresa o institución. Un tono persuasivo, combinado con el uso de datos obtenidos previamente en filtraciones de información, hace que las víctimas sean más propensas a compartir información confidencial por teléfono. Este tipo de fraude está afectando cada vez más a empresas brasileñas, especialmente a grandes corporaciones.
Las cuentas antiguas son los activos más valiosos para los criminales.
El crecimiento de estas fraudes está directamente relacionado con el valor que representan los ecosistemas basados en cuentas. Una cuenta antigua y confiable es más valiosa para los criminales que el robo directo de dinero. Esto se debe a que las cuentas con historial de actividades legítimas tienen menos probabilidades de ser detectadas automáticamente por los sistemas tradicionales de detección de fraudes.
Los estafadores utilizan el phishing y sus variantes conjuntamente para obtener acceso a estas cuentas, que pueden tener años de relaciones y transacciones que validan su reputación. Una vez dentro, el delincuente puede estudiar el historial de compras, los patrones de comportamiento y, en algunos casos, incluso interactuar con el servicio al cliente, haciéndose pasar por el titular legítimo de la cuenta.
Según señala un informe de Nethone, algunos estafadores llegan a construir relaciones con los agentes de soporte, engañándolos para realizar cambios en la cuenta que faciliten la ejecución del fraude, un proceso conocido como *account takeover* (toma de cuenta). Este tipo de ataque no solo causa pérdidas financieras directas, sino que también compromete la confianza en las plataformas y servicios digitales.
El impacto de la inteligencia artificial y la automatización en las fraudes
Históricamente, las campañas de ingeniería social requerían planificación, tiempo y cierto grado de personalización manual. Sin embargo, la adopción generalizada de modelos de lenguaje generativos (LLMs) ha cambiado completamente este panorama.
Hoy, con herramientas automatizadas basadas en IA generativa, los criminales pueden crear y lanzar campañas de phishing en minutos. Textos bien escritos, que antes requerían fluidez o tiempo para ser elaborados, ahora se generan automáticamente con un alto grado de sofisticación. Como resultado, el volumen y la frecuencia de estos ataques han aumentado de forma alarmante.
Este crecimiento refleja no solo el mayor alcance de las campañas fraudulentas, sino también la eficiencia de las nuevas técnicas basadas en IA y automatización.
Quien piensa que el phishing, el smishing y el vishing son riesgos exclusivos de los consumidores individuales está equivocado. Las empresas también son víctimas frecuentes de estas fraudes, especialmente cuando las credenciales corporativas se exponen en la dark web. Según un análisis de Nethone, los ciberdelincuentes pueden adquirir datos filtrados de empleados, obteniendo acceso privilegiado a sistemas internos y bases de datos sensibles.
A partir de ahí, realizan movimientos sutiles: estudian el comportamiento de compra o operación de la empresa, crean interacciones con el soporte técnico o comercial y manipulan gradualmente los procesos internos para realizar transacciones fraudulentas sin levantar sospechas inmediatas. Esta práctica compromete no solo la seguridad de la organización, sino también la relación de confianza con clientes y socios.
¿Cómo protegerse de esas amenazas?
La protección contra el phishing, el smishing y el vishing implica una combinación de tecnología, procesos y concientización.
Educación y concientización: La primera línea de defensa siempre es la persona. Tanto las empresas como los usuarios necesitan ser educados para reconocer las señales comunes de estas fraudes, como errores ortográficos, urgencia excesiva en los mensajes, solicitudes de información confidencial y canales de comunicación inusuales.
Autenticación Multifactor (MFA): Aunque las credenciales sean comprometidas, el uso de múltiples capas de autenticación dificulta el acceso no autorizado.
Monitoreo de Credenciales: Las herramientas que monitorizan la exposición de credenciales en la dark web son esenciales para que empresas e individuos sean rápidamente alertados sobre filtraciones.
Sistemas de Detección de Fraudes Basados en IA: Al igual que los criminales, las empresas necesitan recurrir a la inteligencia artificial para detectar patrones de comportamiento anómalos que indiquen posibles intrusiones o intentos de fraude.
En tiempos en que la confianza es una moneda valiosa, proteger las credenciales y mantener una postura vigilante es esencial para preservar la integridad digital de individuos y empresas.
