Estafas empresariales reveladas: una visión integral de las tácticas fraudulentas

El fraude es un delito en Internet en crecimiento en un mundo cada vez más digitalizado. Puede tomar muchas formas. Las estafas más comunes son los fraudes por correo electrónico, fraudes con tarjetas para enviar dinero y el deepfake. Los estafadores utilizan varias técnicas para dirigirse a agencias gubernamentales o individuos desprevenidos, a menudo recolectando información personal como direcciones de correo electrónico, números de tarjetas de crédito y otra información que puede identificar a una persona.

Los esquemas de fraude pueden ser complejos e involucrar múltiples pasos, aprovechando la anonimidad y las prácticas de seguridad fiscal. En algunos casos, el estafador incluso puede vender la información personal de clientes honestos a otros actores maliciosos, quienes luego pueden usarla para cometer más delitos. No solo los clientes honestos están en riesgo, sino también los propietarios de negocios. Las empresas legítimas pueden enfrentar daños financieros, legales y de reputación severos si actores maliciosos logran dirigirse de manera ilegítima a grandes y pequeñas empresas, presentando facturas falsas para transferencias de dinero, enviando cheques que parecen genuinos y forzando a las empresas a optimizar sus estrategias anti-fraude.

Sin embargo, los estafadores siempre están innovando para mantenerse un paso adelante, desde la adopción de nuevos comportamientos como la obtención de identidades hasta el aprovechamiento de avances tecnológicos como el video deepfake. Como empresa, es importante mantenerse al día con las últimas tendencias de fraude, pero también entender dónde encajan en patrones establecidos de comportamiento criminal que cambian poco con el tiempo.

Estafas dirigidas a empresas

El fraude empresarial se puede categorizar esencialmente en cuatro tipos clave: fraude de identidad, fraude de documentos, fraude técnico y fraude recurrente.

Fraude de identidad (Robo de identidad)

Intentar apropiar las identidades de otras personas para eludir las medidas de seguridad es, con mucho, la forma más común de fraude en línea, representando más de la mitad de toda la actividad fraudulenta. La forma más directa es la suplantación, donde un estafador utiliza la apariencia, cuentas bancarias, números de teléfono o documentos de identidad de otra persona como si fueran propios.

El fraude de identidad también puede tomar la forma de intervención de terceros, donde un estafador fuerza, coacciona o engaña a otra persona para obtener acceso a servicios en su nombre y exigir pago. A medida que la tecnología de verificación de identidad (IDV) se vuelve más sofisticada, las técnicas de terceros que involucran ingeniería social (usar el engaño para manipular a individuos para que revelen información confidencial) están volviendo a ser populares.

Fraude de documentos (Fraude sintético)

Como su nombre indica, el fraude de documentos es el acto de alterar la información en identificaciones emitidas por el gobierno o crear documentos falsos con el objetivo de defraudar el proceso de verificación. También conocido como fraude sintético, esto puede incluir la eliminación, alteración o sustitución de datos en el documento.

Por razones obvias, el fraude sintético tiende a ser más prevalente utilizando documentos que son menos sofisticados en términos de sus propias medidas de seguridad y/o de países donde los documentos robados o 'prestados' son más fáciles de conseguir. Por ejemplo, la tasa de rechazo de Veriff para sesiones de verificación utilizando el pasaporte nacional de Filipinas es del 65.22%, de los cuales el 40% son rechazados debido a manipulación física del documento.

Fraude técnico (Estafa)

El fraude técnico implica estafas comunes como intentar eludir un proceso de verificación establecido - enviando videos transmitidos para una supuesta sesión de verificación en vivo, o accediendo fraudulentamente a sesiones que estaban destinadas a un individuo separado. Por ejemplo, el fraude de tarjetas de regalo se está convirtiendo en un fenómeno cada vez más común.

Con el auge de la IA, el uso de deepfakes para superar la seguridad basada en la verificación facial y biometría de voz es una tendencia emergente en el fraude técnico y evitar estafas se está volviendo cada vez más difícil.

Fraude recurrente (Fraude de patrones)

Una vez que los actores maliciosos encuentran una vulnerabilidad que les permite eludir las medidas de seguridad, tienden a replicarla tantas veces como sea posible. A menudo, los ataques se llevarán a cabo contra el mismo objetivo pero involucrarán a diferentes usuarios reales o una serie de identidades sintéticas. En otras ocasiones, el mismo usuario intentará obtener aprobación múltiples veces utilizando diferentes documentos.

A medida que las medidas de seguridad en línea se vuelven más efectivas, el fraude recurrente está siendo explotado por actores maliciosos como una forma de maximizar sus posibles ganancias de cualquier vulnerabilidad descubierta. De hecho, el fraude recurrente aumentó casi un 47% año tras año entre 2021 y 2022. Sin embargo, al cruzar los datos obtenidos de las sesiones de verificación, se hace posible identificar patrones y llevar a cabo una investigación más profunda para aislar este tipo de comportamiento fraudulento.

Las últimas tendencias

Los estafadores están constantemente encontrando nuevas formas de hacer surgir estas cuatro estrategias principales de fraude. Los siguientes son solo algunos ejemplos de tendencias recientes que hemos visto.

Phishing con deepfake: Los primeros ataques de phishing datan de la comercialización del correo electrónico en la década de 1990, pero el potencial de crear deepfakes usando IA amenaza con llevar la técnica a un nivel completamente nuevo. La suplantación de voz ya se ha utilizado en ataques altamente exitosos, y es probable que no pase mucho tiempo antes de que video deepfake en streaming pueda ser utilizado de manera similar.

Farming de identidades: La táctica de crear una o más identidades falsas utilizando información personal robada está volviéndose cada vez más popular y ahora representa el 9% de todo el fraude en línea. Los defraudadores de países desarrollados a menudo se conectan con criminales en ubicaciones más pobres para obtener documentos de identidad robados o "prestados", o para hacer que estos se verifiquen para servicios con fines ilícitos

Anuncios de trabajo falsos: Los estafadores publican un anuncio de trabajo falso en redes sociales afirmando representar a una empresa. Utilizando información de los currículums enviados, los defraudadores abren cuentas en nombre del solicitante. Cuando se requiere verificación de identidad, los defraudadores envían enlaces mágicos al correo electrónico de la víctima como parte del 'proceso de contratación' para intentar engañarlos y hacer que completen el proceso de verificación en su nombre.