Nueva ola de ataques: en lugar de un inspector fiscal, una IA con corbata

La inteligencia artificial se ha convertido en una nueva arma en el arsenal de los estafadores que buscan aprovecharse de contribuyentes confiados en plena temporada de impuestos. En lugar de cartas banales con amenazas de auditoría, ahora los delincuentes utilizan imitaciones realistas de voces y videos para obtener datos personales y acceder al dinero de sus víctimas.

La temporada fiscal tradicionalmente se considera un período fructífero para los ciberdelincuentes, pero este año la situación es especialmente alarmante. Los expertos en ciberseguridad observan un fuerte aumento de los ataques basados en tecnologías de IA generativa. Es particularmente peligroso el llamado vishing, una forma de phishing por voz que utiliza archivos de audio sintetizados para imitar a asesores fiscales, contadores o incluso empleados del servicio de impuestos.

Expertos del sector señalan que la IA generativa y los deepfakes están cambiando las reglas del juego. Permiten a los atacantes escalar sus esquemas y hacerlos más convincentes. Por ejemplo, un video con un falso especialista fiscal puede crear una ilusión de legitimidad, y los correos electrónicos redactados por inteligencia artificial parecen comunicaciones oficiales del fisco.

Los hackers ahora son capaces de copiar la voz de la víctima y, haciéndose pasar por un experto en impuestos, llaman ofreciendo ayuda para registrar una cuenta en el servicio fiscal. En realidad, todo es una trampa: el objetivo es obtener información confidencial, incluidos nombres de usuario, números de seguro social y credenciales fiscales.

Las víctimas se enfrentan cada vez más a grabaciones de video y audio donde “hablan” voces familiares —desde miembros de la familia hasta agentes fiscales—. El material no es real, pero lo suficientemente convincente como para engañar. Lo único que puede delatar la falsificación son pequeñas incoherencias en los detalles, que la IA aún no logra imitar con precisión.

Algunos métodos de protección siguen siendo eficaces. Se recomienda usar búsqueda inversa de imágenes y videos para verificar si el contenido ha sido manipulado artificialmente. Además, es importante mantener la cautela ante cualquier solicitud “urgente”, ya sea por teléfono o por correo electrónico.

Los estafadores no se limitan a los deepfakes. Aumentan los ataques a través de dispositivos móviles. Se utilizan mensajes de texto que aparentan ser del servicio fiscal, con enlaces o sugerencias de instalar aplicaciones, tras las cuales se oculta software malicioso. Estas acciones suelen llevar al robo de credenciales e información financiera.

Los métodos antiguos tampoco han sido olvidados. Los ciberdelincuentes crean sitios falsos que imitan plataformas fiscales populares e incluso utilizan términos de búsqueda populares como “Trump tax refund”. Estos recursos falsos se promueven mediante envenenamiento SEO (SEO Poisoning), manipulando los resultados de búsqueda para que parezcan legítimos.

Recientemente, Microsoft advirtió sobre una campaña masiva de correos maliciosos con temas que simulan ser correspondencia oficial del servicio de impuestos. Desde febrero de 2025, más de 2300 organizaciones han sido blanco de correos de phishing que incluyen archivos PDF con códigos QR que dirigen a sitios infectados. Las empresas de ingeniería, TI y consultoría son las más atacadas.

Ante ataques cada vez más sofisticados, proteger los datos personales requiere nuevos enfoques. Incluso consejos básicos —como no hacer clic en enlaces de correos sospechosos y verificar la voz del interlocutor— pueden ser cruciales. La inteligencia artificial ha dado a los estafadores nuevas herramientas, pero ha dejado a las personas una última defensa: la atención a los detalles.