Microsoft publicó una nueva edición de su informe Cyber Signals, centrado en las estafas asistidas por Inteligencia Artificial (IA), incluidas aquellas dirigidas a compradores en línea y personas en busca de empleo.
Según el informe, entre abril de 2024 y abril de 2025, la compañía frustró ataques por un valor estimado de 4 mil millones de dólares, rechazó 49,000 inscripciones fraudulentas de sociedades y bloqueó aproximadamente 1.6 millones de intentos de registro de bots por hora.
“La ciberdelincuencia es un problema de un billón de dólares y ha ido en aumento cada año durante los últimos 30 años. Creo que hoy tenemos la oportunidad de adoptar la IA para poder detectar y cerrar la brecha de exposición con mayor rapidez”, comentó Kelly Bissell, Vicepresidente Corporativo de Antifraude y Abuso de Productos en Microsoft Security.
Al igual que el avance de la tecnología, las ciberamenazas también evolucionan. En este contexto, los ciberdelincuentes están utilizando herramientas impulsadas por IA para lanzar ataques cada vez más sofisticados. En algunos casos, estos actores atraen a las víctimas con reseñas de productos falsas generadas por IA, deepfakes, clonación de voz, correos electrónicos de phishing y sitios web falsos con apariencia auténtica que a grandes rasgos parecen simulan ser legítimos.
Según el equipo antifraude de Microsoft, los ataques ocurren a nivel mundial, y gran parte de la actividad proviene de China y Europa, en específico de Alemania, debido en parte al estatus de este país como uno de los mercados de comercio electrónico y servicios en línea más grandes de la Unión Europea (UE).
Fraude en el comercio electrónico
El desarrollo tecnológico permite que los ataques puedan configurar sitios fraudulentos de manera más rápida, haciendo en pocos minutos algo que antes podía tomar horas o días. Estos sitios suelen imitar a páginas legítimas, dificultando que los consumidores identifiquen el engaño.
Mediante descripciones de productos, imágenes y reseñas generadas por IA, los estafadores hacen creer a los clientes que están interactuando con comerciantes reales. Incluso los chatbots de servicio al cliente contribuyen al fraude, interactuando de manera convincente, retrasando devoluciones de cargo con excusas automatizadas y respondiendo quejas con mensajes generados por IA que refuerzan la ilusión de profesionalismo.
Fraude laboral y de empleo
El rápido avance de la IA generativa ha facilitado a los estafadores la creación de listados falsos en varias plataformas de trabajo. Generan perfiles falsos con credenciales robadas, ofertas de trabajo falsas con descripciones generadas en automático y campañas de correo electrónico impulsadas por IA para suplantar a los solicitantes de empleo. Las entrevistas impulsadas por IA y los correos electrónicos automatizados mejoran la credibilidad de las estafas laborales, lo que dificulta que los solicitantes de empleo identifiquen las ofertas fraudulentas.
Para evitarlo, las plataformas de empleo deben introducir la autenticación multifactor para las cuentas de los empleadores a fin de dificultar que los malos actores se apoderen de los listados de los contratantes legítimos y utilizar las tecnologías de detección de fraude disponibles para detectar contenidos sospechosos.
Soporte técnico
Las estafas de soporte técnico son un tipo de fraude en el que los estafadores engañan a las víctimas para que presten servicios de soporte técnico innecesarios para solucionar un dispositivo o problemas de software que no existen. Luego, los estafadores pueden obtener acceso remoto a una computadora, lo que les permite acceder a toda la información almacenada en ella y en cualquier red conectada a ella, o instalar malware que les da acceso a la computadora y a datos confidenciales.
Estas estafas pueden ser efectivas incluso sin el uso de IA. Por ejemplo, en abril de 2024, Microsoft Threat Intelligence detectó que el grupo cibercriminal Storm-1811, motivado por fines financieros, estaba abusando del software Windows Quick Assist haciéndose pasar por soporte técnico. Aunque no se utilizó IA en este caso, el grupo usó tácticas de ingeniería social como el vishing (phishing por voz) para convencer a las víctimas de otorgar acceso remoto a sus dispositivos.
Recomendaciones
- Reforzar la autenticación del empleador: los estafadores a menudo secuestran perfiles legítimos de empresas o crean reclutadores falsos para engañar a los solicitantes de empleo. Para evitar esto, las plataformas de empleo deben introducir la autenticación multifactor y el identificador verificado como parte del identificador de Microsoft Entra para las cuentas del empleador, lo que dificulta que los usuarios no autorizados obtengan el control.
- Vigilar las estafas de contratación basadas en IA: las empresas deben implementar algoritmos de detección de deepfakes para identificar las entrevistas generadas por IA en las que las expresiones faciales y los patrones de habla pueden no alinearse de forma natural.
- Evitar proporcionar información personal o detalles de pago a fuentes no verificadas.
