No es un secreto que la rápida digitalización de la sociedad ha transformado profundamente las relaciones personales y comerciales. Estudios muestran que, en 2024, las pérdidas financieras causadas por estafas en línea alcanzaron los 10,1 mil millones de reales, un aumento del 17% en comparación con el año anterior.
Esta transformación, sin embargo, también amplió la superficie de ataque para los ciberdelincuentes, que dependen cada vez más de la ingeniería social para ejecutar esquemas de fraude sofisticados.
Entre los más comunes están el phishing, el smishing y el vishing, prácticas que, aunque diferentes en los métodos utilizados, comparten el mismo objetivo: engañar a las víctimas para robar información sensible, especialmente credenciales de acceso. Aunque tradicionalmente asociadas a estafas contra consumidores, estas formas de ingeniería social también son altamente efectivas en el entorno corporativo. Los estafadores apuntan a empresas para obtener acceso a sistemas internos, comprometer cadenas de suministro y ejecutar fraudes financieras a gran escala.
¿Phishing, Smishing y Vishing son las mismas amenazas?
Para comenzar la explicación, es importante entender que el término ingeniería social se refiere a un conjunto de técnicas utilizadas por estafadores para manipular emocional y socialmente a las víctimas, llevándolas a actuar en contra de sus propios intereses y comprometiendo su seguridad.
El phishing es el tipo más conocido de este tipo de fraude. Kits de phishing por correo electrónico se pueden encontrar en la dark web. Para aquellos estafadores que no son especialistas en el tema, hay quienes realizan el servicio por ellos. Generalmente implica el envío de correos electrónicos o mensajes que se hacen pasar por instituciones confiables, como bancos, minoristas o servicios en línea.
El objetivo es engañar al destinatario para que haga clic en enlaces maliciosos que llevan a sitios falsos, muy similares a los originales, con la intención de capturar contraseñas y otra información sensible, como números de documentos o datos de tarjetas de crédito. Según datos de Serpro, el phishing sigue siendo uno de los tipos de fraude más frecuentes en Brasil, y los delincuentes están perfeccionando sus estrategias con el uso de inteligencia artificial (IA) y deepfakes para crear contenidos aún más convincentes y personalizados. Un caso reciente fue la detención de un hombre por su participación en un grupo criminal que realizaba estafas utilizando videos manipulados con deepfake, con la imagen y la voz del presentador Marcos Mion.
Los estafadores también realizan fraudes como el Compromiso de Correo Electrónico Empresarial (BEC) y la estafa del falso CEO, con correos electrónicos que se hacen pasar por ejecutivos para inducir a los empleados a transferir dinero o proporcionar credenciales.
Por otro lado, el smishing (combinación de SMS y phishing) utiliza mensajes de texto para engañar a las víctimas. Con la popularización de aplicaciones de mensajería como WhatsApp y Telegram, este método ganó fuerza, explotando la tendencia de las personas a responder rápidamente a mensajes que parecen urgentes o importantes.
El vishing (phishing por voz) se realiza mediante llamadas telefónicas, en las cuales el estafador se hace pasar por un representante de una empresa o institución. Un tono persuasivo, combinado con el uso de datos obtenidos previamente en filtraciones, hace que las víctimas sean más propensas a compartir información confidencial por teléfono. Este tipo de fraude ha estado afectando cada vez más a empresas brasileñas, especialmente grandes corporaciones.
Las cuentas antiguas son los activos más valiosos para los delincuentes
El crecimiento de estas fraudes está directamente relacionado con el valor que representan los ecosistemas basados en cuentas. Una cuenta antigua y confiable es más valiosa para los delincuentes que el robo directo de dinero. Eso porque las cuentas con historial de actividades legítimas tienen menos probabilidades de ser detectadas automáticamente por sistemas tradicionales de detección de fraudes.
Los estafadores utilizan el phishing y sus variaciones en conjunto para obtener acceso a esas cuentas, que pueden tener años de relación y transacciones que validan su reputación. Una vez dentro, el delincuente puede estudiar el historial de compras, patrones de comportamiento y, en algunos casos, incluso interactuar con el servicio de atención al cliente, fingiendo ser el titular legítimo de la cuenta.
Según lo señalado en el informe de Nethone, algunos defraudadores llegan a establecer relaciones con los agentes de soporte, engañándolos para realizar cambios en la cuenta que faciliten la ejecución del fraude — proceso conocido como toma de control de la cuenta (account takeover). Este tipo de ataque no solo causa pérdidas financieras directas, sino que también compromete la confianza en las plataformas y servicios digitales.
El impacto de la inteligencia artificial y la automatización en las fraudes
Históricamente, las campañas de ingeniería social requerían planificación, tiempo y un cierto grado de personalización manual. Sin embargo, la adopción a gran escala de modelos de lenguaje generativos (LLMs) ha cambiado completamente ese escenario.
Hoy, con herramientas automatizadas basadas en IA generativa, los delincuentes pueden crear y lanzar campañas de phishing en minutos. Textos bien escritos, que antes requerían fluidez o tiempo para ser elaborados, ahora se generan automáticamente con un alto grado de sofisticación. Como resultado, el volumen y la frecuencia de estos ataques aumentaron de manera alarmante.
Este crecimiento refleja no solo el mayor alcance de las campañas fraudulentas, sino también la eficiencia de las nuevas técnicas basadas en IA y automatización.
Quien piensa que el phishing, el smishing y el vishing son riesgos exclusivos de los consumidores individuales está equivocado. Las empresas también son víctimas frecuentes de estas fraudes, especialmente cuando las credenciales corporativas se exponen en la dark web. Según un análisis de Nethone, los estafadores pueden adquirir datos filtrados de empleados, obteniendo acceso privilegiado a sistemas internos y bases de datos sensibles.
A partir de entonces, realizan movimientos sutiles: estudian el comportamiento de compra o operación de la empresa, crean interacciones con el soporte técnico o comercial y manipulan gradualmente procesos internos para realizar transacciones fraudulentas sin levantar sospechas inmediatas. Esta práctica compromete no solo la seguridad de la organización, sino también la relación de confianza con clientes y socios.
¿Como protegerse de estas amenazas?
La protección contra phishing, smishing y vishing implica una combinación de tecnología, procesos y concienciación.
Educación y concienciación:La primera línea de defensa siempre es la persona. Tanto empresas como usuarios necesitan ser educados para reconocer señales comunes de estas fraudes, como errores ortográficos, urgencia excesiva en los mensajes, solicitudes de información sensible y canales de comunicación inusuales.
Autenticación Multifactor (MFA):aunque las credenciales estén comprometidas, el uso de múltiples capas de autenticación dificulta el acceso no autorizado.
Monitoreo de Credenciales:herramientas que monitorean la exposición de credenciales en la dark web son esenciales para que empresas e individuos sean alertados rápidamente sobre filtraciones.
Sistemas de Detección de Fraudes Basados en IA:Así como los delincuentes, las empresas necesitan recurrir a la inteligencia artificial para detectar patrones de comportamiento anómalos que indiquen posibles invasiones o intentos de fraude.
En tiempos en los que la confianza es una moneda valiosa, proteger las credenciales y mantener una postura vigilante es esencial para preservar la integridad digital de individuos y empresas.
