Las estafas de impostores deepfake están impulsando una nueva ola de fraude

Sep 02, 2023

Voces infantiles generadas por computadora tan realistas que engañan a sus propios padres. Máscaras creadas con fotografías de redes sociales que pueden penetrar un sistema protegido por Face ID. Suenan como material de ciencia ficción, pero estas técnicas ya están disponibles para los delincuentes que se aprovechan de los consumidores cotidianos.

La proliferación de tecnología fraudulenta ha alarmado a los reguladores, la policía y las personas en los niveles más altos de la industria financiera. La inteligencia artificial en particular se está utilizando para “acelerar” el fraude, advirtió en junio la presidenta de la Comisión Federal de Comercio de Estados Unidos, Lina Khan, y pidió una mayor vigilancia por parte de las autoridades.

Incluso antes de que la IA se desatara y estuviera disponible para cualquier persona con conexión a Internet, el mundo luchaba por contener una explosión de fraude financiero. Solo en Estados Unidos, los consumidores perdieron casi 8.800 millones de dólares el año pasado, un 44% más que en 2021, a pesar de una inversión récord en detección y prevención. Los expertos en delitos financieros de los principales bancos, incluidos Wells Fargo & Co. y Deutsche Bank AG, dicen que el auge del fraude que se avecina en el horizonte es una de las mayores amenazas que enfrenta su industria. Además de pagar el costo de luchar contra las estafas, la industria financiera corre el riesgo de perder la fe de los clientes quemados. "Es una carrera armamentista", dice James Roberts, que dirige la gestión del fraude en el Commonwealth Bank of Australia, el banco más grande del país. "Sería exagerado decir que estamos ganando".

La historia de las estafas es seguramente tan antigua como la historia del comercio y los negocios. Uno de los primeros casos conocidos, hace más de 2.000 años, involucró a un comerciante marítimo griego que intentó hundir su barco para obtener un pago fraudulento de una póliza de seguro. Vuelva a revisar cualquier archivo de periódicos y encontrará innumerables intentos de separar a los crédulos de su dinero. Pero la economía oscura del fraude –al igual que la economía en general– tiene estallidos periódicos de innovación desestabilizadora. La nueva tecnología reduce el costo de realizar una estafa y permite al delincuente llegar a un grupo más grande de objetivos no preparados. El correo electrónico presentó a todos los usuarios de computadoras del mundo a un elenco de príncipes necesitados que necesitaban ayuda para rescatar sus fortunas perdidas. Las criptomonedas trajeron consigo un florecimiento de los esquemas Ponzi que se difundieron viralmente en las redes sociales.

La explosión de la IA ofrece no sólo nuevas herramientas sino también la posibilidad de sufrir pérdidas financieras que cambiarán vidas. Y la creciente sofisticación y novedad de la tecnología significa que todos, no sólo los crédulos, son víctimas potenciales. Los confinamientos por el COVID-19 aceleraron la adopción de la banca en línea en todo el mundo, y los teléfonos y computadoras portátiles reemplazaron las interacciones cara a cara en las sucursales bancarias. Ha traído ventajas en costos más bajos y mayor velocidad para las empresas financieras y sus clientes, así como oportunidades para los estafadores.

Algunas de las nuevas técnicas van más allá de lo que la tecnología disponible actualmente puede hacer, y no siempre es fácil saber cuándo se trata de un estafador común y corriente o de un actor de un Estado-nación. "Estamos empezando a ver mucha más sofisticación con respecto al cibercrimen", dice Amy Hogan-Burney, directora general de política y protección de ciberseguridad de Microsoft Corp.

A nivel mundial, los costos de los delitos cibernéticos, incluidas las estafas, alcanzarán los 8 billones de dólares este año, superando la producción económica de Japón, la tercera economía más grande del mundo. Para 2025 alcanzará los 10,5 billones de dólares, después de triplicarse en una década, según el investigador Cybersecurity Ventures.

En Redfern, un suburbio de Sydney, algunos miembros del equipo de Roberts, de más de 500 personas, pasan sus días escuchando a escondidas a los presos para escuchar de primera mano cómo la IA está remodelando su batalla. Una solicitud falsa de dinero por parte de un ser querido no es nueva. Pero ahora los padres reciben llamadas que clonan la voz de sus hijos con IA para que suene indistinguible de la real. Estos trucos, conocidos como estafas de ingeniería social, tienden a tener las tasas de éxito más altas y generan algunos de los retornos más rápidos para los estafadores.

Clonar la voz de una persona es cada vez más fácil. Una vez que un estafador descarga una breve muestra de un clip de audio de las redes sociales o del mensaje de correo de voz de alguien (puede durar tan solo 30 segundos), puede usar herramientas de síntesis de voz de inteligencia artificial disponibles en línea para crear el contenido que necesita.

Las cuentas públicas de redes sociales facilitan descubrir quiénes son los familiares y amigos de una persona, sin mencionar dónde viven y trabajan y otra información vital. Los jefes de los bancos enfatizan que los estafadores, que dirigen sus operaciones como si fueran empresas, están dispuestos a ser pacientes y, a veces, planean ataques durante meses.

Lo que los equipos antifraude están viendo hasta ahora es sólo una muestra de lo que la IA hará posible, según Rob Pope, director de la agencia gubernamental de ciberseguridad de Nueva Zelanda, CERT NZ. Señala que la IA ayuda simultáneamente a los delincuentes a aumentar el volumen y la personalización de los ataques. "Es una apuesta justa que en los próximos dos o tres años veremos más ataques criminales generados por IA", dice Pope, ex subcomisionado de la policía de Nueva Zelanda que supervisó algunos de los casos criminales más destacados del país. . “Lo que hace la IA es acelerar los niveles de sofisticación y la capacidad de estas malas personas para girar muy rápidamente. La IA les facilita las cosas”.

Escuche el episodio del podcast The Big Take sobre estafas de IA en iHeart, Apple y Spotify.

Para dar una idea del desafío que enfrentan los bancos, Roberts dice que en este momento el Commonwealth Bank of Australia está rastreando alrededor de 85 millones de eventos por día a través de una red de herramientas de vigilancia. Eso es en un país con una población de sólo 26 millones.

La industria espera contraatacar educando a los consumidores sobre los riesgos y aumentando la inversión en tecnología defensiva. El nuevo software permite a CBA detectar cuando los clientes usan el mouse de su computadora de manera inusual durante una transacción, una señal de alerta de una posible estafa. Cualquier cosa sospechosa, incluido el destino de un pedido y cómo se procesa la compra, puede alertar al personal en tan solo 30 milisegundos, permitiéndoles bloquear la transacción.

En Deutsche Bank, los ingenieros informáticos reconstruyeron recientemente su sistema de detección de transacciones sospechosas, llamado Selva Negra, utilizando los últimos modelos de procesamiento de lenguaje natural, según Thomas Graf, ingeniero senior de aprendizaje automático del banco. La herramienta analiza criterios de transacción como volumen, moneda y destino y aprende automáticamente a partir de una gran cantidad de datos qué patrones sugieren fraude. El modelo se puede utilizar tanto en transacciones minoristas como corporativas y ya ha descubierto varios casos, incluido uno que involucra crimen organizado, lavado de dinero y evasión fiscal.

Wells Fargo ha revisado los sistemas tecnológicos para contrarrestar el riesgo de videos y voces generados por inteligencia artificial. "Entrenamos a nuestro software y a nuestros empleados para que puedan detectar estas falsificaciones", dice Chintan Mehta, director de tecnología digital de Wells Fargo. Pero el sistema necesita seguir evolucionando para mantenerse al día con los delincuentes. Detectar estafas, por supuesto, cuesta dinero.

Un problema para las empresas: cada vez que endurecen las cosas, los delincuentes intentan encontrar una solución. Por ejemplo, algunos bancos estadounidenses exigen que los clientes carguen una foto de un documento de identidad al registrarse para obtener una cuenta. Los estafadores ahora compran datos robados en la web oscura, encuentran fotos de sus víctimas en las redes sociales e imprimen máscaras en 3D para crear identificaciones falsas con la información robada. "Y pueden parecerse a cualquier cosa, desde lo que se consigue en una tienda de Halloween hasta una máscara de silicona extremadamente realista de los estándares de Hollywood", dice Alain Meier, jefe de identidad de Plaid Inc., que ayuda a bancos, compañías de tecnología financiera y otras empresas a combatir el fraude. con su software de verificación de identidad. Plaid analiza la textura y la translucidez de la piel para asegurarse de que la persona en la foto parezca real.

Meier, que ha dedicado su carrera a detectar fraudes, dice que los mejores estafadores, aquellos que ejecutan sus planes como un negocio, crean software de estafa y lo empaquetan para venderlo en la web oscura. Los precios pueden variar desde $20 hasta miles de dólares. "Por ejemplo, podría ser una extensión de Chrome que le ayude a evitar las huellas dactilares, o herramientas que puedan ayudarle a generar imágenes sintéticas", afirma.

A medida que el fraude se vuelve más sofisticado, la cuestión de quién es responsable de las pérdidas se vuelve más polémica. En el Reino Unido, por ejemplo, las víctimas de transacciones desconocidas (por ejemplo, alguien copia y utiliza su tarjeta de crédito) están protegidas legalmente contra pérdidas. Si alguien lo engaña para que realice un pago, la responsabilidad es menos clara. En julio, el tribunal superior del país dictaminó que una pareja que fue engañada para enviar dinero al extranjero no podía responsabilizar a su banco simplemente por seguir sus instrucciones. Pero los legisladores y reguladores tienen margen para establecer otras reglas: el gobierno se está preparando para exigir a los bancos que reembolsen a las víctimas del fraude cuando el efectivo se transfiera a través de Faster Payments, un sistema para enviar dinero entre bancos del Reino Unido. Los políticos y defensores de los consumidores en otros países están presionando para que se realicen cambios similares, argumentando que no es razonable esperar que la gente reconozca estas estafas cada vez más sofisticadas.

A los bancos les preocupa que cambiar las reglas simplemente facilite las cosas a los estafadores. Los líderes de la industria financiera de todo el mundo también están tratando de trasladar una parte de la responsabilidad a las empresas de tecnología. La categoría de estafa de más rápido crecimiento es el fraude de inversiones, que a menudo se presenta a las víctimas a través de motores de búsqueda donde los estafadores pueden comprar fácilmente anuncios publicitarios patrocinados. Cuando los posibles inversores hacen clic, a menudo encuentran folletos informativos realistas y otros datos financieros. Una vez que transfieren su dinero, pueden pasar meses, si no años, hasta que se dan cuenta de que han sido estafados cuando intentan sacar provecho de su “inversión”.

En junio, un grupo de 30 prestamistas del Reino Unido envió una carta al primer ministro Rishi Sunak pidiéndole que las empresas tecnológicas contribuyan a los reembolsos a las víctimas de fraudes derivados de sus plataformas. El gobierno dice que está planeando nueva legislación y otras medidas para acabar con las estafas financieras en línea.

La industria bancaria está presionando para distribuir más ampliamente la responsabilidad, en parte porque los costos parecen estar aumentando. Una vez más, un problema familiar de la economía también se aplica a la economía del fraude. Al igual que la contaminación de una fábrica, la nueva tecnología está creando una externalidad o un costo impuesto a otros. En este caso, se trata de un mayor alcance y riesgo de estafas. Ni los bancos ni los consumidores quieren ser los únicos obligados a pagar el precio.

Chris Sheehan pasó casi tres décadas en la policía del país antes de unirse al National Australia Bank Ltd., donde dirige las investigaciones y el fraude. Ha añadido unas 40 personas a su equipo el año pasado con una inversión constante por parte del banco. Cuando suma todos los costos de personal y tecnología, "me asusta lo grande que es la cifra", dice.

“Tengo esperanzas, porque hay soluciones tecnológicas, pero nunca se soluciona del todo el problema”, afirma. Le recuerda su época como policía luchando contra las bandas de narcotraficantes. Enmarcarlo como una guerra contra las drogas fue “un gran error”, dice. "Nunca lo expresaré en ese marco (de una guerra contra las estafas) porque la implicación es que una guerra se puede ganar", dice. "Esto no se puede ganar".

BLOOMBERG