$25 millones por una voz: cómo la IA ayuda a eludir la seguridad bancaria

El Servicio de Lucha contra los Delitos Financieros (FinCEN) emitió una alerta para las instituciones financieras sobre nuevos esquemas de fraude relacionados con deepfakes.

Desde principios de 2023 hasta la fecha, FinCEN ha observado un aumento significativo en los informes de las organizaciones financieras sobre actividades sospechosas relacionadas con deepfakes. Los delincuentes están utilizando activamente las capacidades de la inteligencia artificial generativa (GenAI) para falsificar documentos y engañar a los sistemas de identificación. A menudo, en estos casos se crean documentos de identidad falsos, lo que permite a los estafadores eludir los procedimientos de verificación y autenticación de clientes.

FinCEN presta especial atención al uso de deepfakes e imágenes generadas para eludir los métodos estándar de autenticación. Por ejemplo, los delincuentes pueden alterar o crear fotografías para licencias de conducir, pasaportes y otros documentos falsificados, utilizando una combinación de datos personales reales y falsos (PII) para generar lo que se conocen como «identidades sintéticas». Estos perfiles falsos se utilizan posteriormente para abrir cuentas y realizar transacciones financieras.

Cómo las instituciones financieras pueden detectar fraudes

Para protegerse contra estas amenazas, FinCEN destaca una serie de indicadores que pueden ayudar a las organizaciones financieras a identificar fraudes con deepfakes:

1. Inconsistencias en los documentos — las instituciones financieras pueden detectar falsificaciones al revisar nuevamente los documentos presentados por los clientes. Por ejemplo, si la foto en una identificación parece sospechosa o muestra claros signos de edición digital.
2. Problemas con la verificación de identidad — algunos clientes pueden no ser capaces de confirmar su identidad o fuente de ingresos de manera convincente. Si durante la verificación surgen frecuentes fallos técnicos, esto podría indicar un intento de usar un video pregrabado en lugar de una videollamada en vivo.
3. Actividad anómala en las cuentas — FinCEN recomienda prestar atención a cuentas que muestran actividad sospechosa, como múltiples transacciones en un corto período de tiempo o transferencias a plataformas de alto riesgo, como sitios de apuestas o intercambios de criptomonedas.
4. Intentos sospechosos de eludir la verificación — los delincuentes pueden intentar cambiar el método de contacto durante el proceso de verificación, alegando problemas técnicos. El uso de complementos para cámaras web también puede ser una señal de un intento de falsificación de video.

FinCEN también advierte sobre el riesgo del uso de deepfakes en esquemas de ingeniería social. Por ejemplo, los delincuentes pueden utilizar voces o videos falsos para convencer a los empleados de las empresas de transferir fondos a cuentas fraudulentas. En uno de los casos conocidos, los estafadores, imitando la voz de un alto directivo, lograron obtener más de $25 millones en transferencias a sus cuentas.

Recomendaciones para protegerse de las amenazas

FinCEN recomienda a las instituciones financieras fortalecer las medidas de seguridad e implementar métodos avanzados de autenticación para contrarrestar los ataques de deepfakes. Estas medidas incluyen:

• Autenticación multifactor (MFA) — uso de dos o más factores para confirmar la identidad, como contraseñas de un solo uso o biometría.
• Verificación en vivo — realización de verificaciones en tiempo real a través de audio y videollamadas para confirmar la identidad del cliente. Aunque los delincuentes pueden utilizar herramientas para generar respuestas sintéticas, dichas verificaciones pueden identificar inconsistencias.

FinCEN también aconseja realizar entrenamientos regulares y actualizaciones de conocimientos para los empleados sobre la detección de señales de deepfakes y ataques de phishing. Además, las instituciones financieras deben considerar los riesgos asociados al uso de proveedores externos para la verificación de identidad e implementar procesos de gestión de riesgos en todas las etapas de colaboración.