El robo de identidad se refiere a la adquisición y utilización ilícitas de la información de identificación privada de una persona, normalmente para obtener beneficios económicos, y constituye un problema mundial cada vez más grave. La sofisticación y los conocimientos de los ciberdelincuentes han aumentado en sus intrusiones, que están poniendo en peligro las identidades.
Los ciberdelincuentes están empleando tecnologías de inteligencia artificial (IA) para robar identidades infiltrándose y examinando las redes de las víctimas. Para engañar o socavar los sistemas y aplicaciones de ciberdefensa, sus técnicas preferidas suelen incluir malware automodificable e intentos de phishing automatizados que imitan a personas reales. En consecuencia, sus ataques selectivos son ahora más letales, estratégicos y rápidos.
El informe 2024 del Centro de Recursos contra el Robo de Identidad indica que los avisos a las víctimas aumentaron un 312%, pasando de 419 millones de avisos en 2023 a 1.728.519.397 en 2024. El año pasado, el sector de los servicios financieros, dominado por los bancos comerciales y los seguros, experimentó el mayor número de filtraciones, seguido de la atención sanitaria (el sector más atacado de 2018 a 2024), los servicios profesionales, la industria manufacturera y la tecnología. El informe anual sobre filtraciones de datos de 2024 del Centro de Recursos contra el Robo de Identidad revela un número casi récord de ataques y avisos a las víctimas – ITRC
La razón de la mayor incidencia del fraude de identidad es evidente. A medida que aumenta nuestra conectividad, también lo hacen nuestra visibilidad y susceptibilidad ante las personas que intentan comprometer nuestras cuentas y apropiarse de nuestras identidades. El panorama de las amenazas superficiales se ha ampliado significativamente debido a los teléfonos móviles, los dispositivos portátiles y el Internet de las Cosas, lo que da lugar a numerosos objetivos de phishing.
El aumento de la conectividad nos hace más visibles para quienes pretenden acceder sin autorización a nuestras cuentas y robar nuestra identidad, incrementando así nuestra vulnerabilidad a sus ataques. El Internet de las Cosas, la tecnología wearable y los teléfonos móviles han ampliado sustancialmente el panorama de las amenazas. Proteger los ordenadores portátiles, los portátiles, las aplicaciones de las redes sociales y los dispositivos móviles plantea importantes retos. Se trata de un entorno ideal para los piratas informáticos, ya que ofrece numerosos objetivos a su disposición.
Los piratas informáticos y los estafadores emplean diversos enfoques en función de las personas implicadas y de sus niveles de competencia. No obstante, el robo de identidad no tiene por qué ser complicado, sobre todo teniendo en cuenta los objetivos accesibles que pueden explotar los delincuentes. Los ciberdelincuentes a menudo adjuntan ransomware a sus ciberataques, exigiendo a las víctimas el pago de criptomonedas para recuperar sus datos.
Una técnica frecuente para obtener información personal es el phishing. Esto se consigue normalmente mediante el uso de un sitio web falso diseñado para imitar al auténtico. El objetivo de este asalto es apropiarse de la identidad de la víctima engañando al usuario para que introduzca su nombre de usuario y contraseña en un formulario de inicio de sesión falsificado. Los ciberdelincuentes pueden imitar sin esfuerzo a personas reconocidas, instituciones financieras y empresas de renombre. Se acabó la época de recibir correos electrónicos internacionales llenos de errores tipográficos y que pretendían proporcionar un patrimonio heredado.
Las organizaciones de piratas informáticos y los estafadores utilizan con frecuencia las redes sociales para facilitar sus ataques de phishing y malware. Pueden obtener información sustancial, como fechas de nacimiento e historiales personales, de las publicaciones en las redes sociales para personalizar sus ataques. El avance de los algoritmos de aprendizaje automático y la IA ha hecho que las operaciones de ingeniería social sean mucho más complejas, permitiendo la identificación de puntos débiles y la automatización de ataques de phishing y ransomware a gran escala. Una vez obtenidas con éxito las identidades, los hackers suelen difundirlas o venderlas en la dark web a otros delincuentes.
La utilización de imágenes e imitaciones ha hecho más accesibles los ataques de ingeniería social y phishing. La época en que se recibían correos electrónicos bancarios erróneos y se pedía hacer clic en enlaces ha llegado a su fin. Lo que resulta especialmente alarmante es que cada día se crean decenas de miles de nuevos sitios web de phishing, facilitados por la IA generativa.
Además, los piratas informáticos se inclinan cada vez más por comerciar con sofisticados kits y técnicas de pirateo en la dark web. Al descubrir una vulnerabilidad, los actores maliciosos suelen difundirla rápidamente en sus redes.
La cuestión fundamental es que cualquiera puede sucumbir fácilmente a un intento de phishing dirigido, especialmente si se hace pasar por un correo electrónico de un alto ejecutivo. Los directores generales, en particular, no son inmunes a los sofisticados ataques de phishing selectivo.
Suplantación de identidades
La suplantación de identidad se produce cuando una persona se hace pasar por otra para acceder a datos, cuentas o información confidenciales. Con frecuencia se ejecuta mediante un correo electrónico o SMS que puede suplantar a un proveedor preferido, como Amazon o Microsoft, o incluso a su institución financiera o lugar de trabajo. Cuando uno sucumbe a una suplantación, a menudo se descargan programas espía y ransomware.
Históricamente, las suplantaciones de identidad eran fácilmente identificables debido a errores tipográficos, imágenes deficientes y afirmaciones inverosímiles. Esto ha evolucionado debido a los avances en la tecnología y la sofisticación de los actores de amenazas que poseen la capacidad de engañar a casi cualquier persona. La suplantación de identidad puede producirse a través de correos electrónicos, sitios web, SMS y la falsificación de direcciones IP. El phishing selectivo suele dirigirse a directivos de empresas mediante técnicas de suplantación de identidad.
Los ciberdelincuentes emplean con frecuencia esquemas de fraude por correo electrónico comercial (BEC) para engañar a las víctimas haciéndose pasar por una persona u organización de confianza. Los malhechores pueden generar correos electrónicos mediante IA generativa que imitan fielmente el léxico, el estilo y el tono de la persona o entidad por la que se hacen pasar, lo que complica la distinción entre los correos electrónicos fraudulentos y los auténticos.
Deepfakes generados por IA
La IA generativa puede producir rápidamente nuevo material utilizando texto, imágenes y música como entradas a través de algoritmos de aprendizaje automático de redes neuronales profundas. Asimismo, los modelos de IA generativa pueden producir contenidos de texto, audio y vídeo extraordinariamente realistas, además de imágenes. Numerosos archivos de audio generados por IA con deepfakes son lo suficientemente realistas como para permitir a un atacante suplantar eficazmente a organizaciones y directores ejecutivos y acceder a información de cuentas bancarias.
Los actores de amenazas especializados en deepfakes están intensificando sus actividades utilizando programas rentables de intercambio de rostros, cámaras virtuales y emuladores móviles. Estas herramientas son fáciles de conseguir y pueden utilizarse para producir medios sintetizados muy persuasivos.
Un ejemplo de fraude por deepfake se produjo recientemente en Hong Kong. Un empleado de una multinacional de Hong Kong donó 200 millones de dólares de Hong Kong de los fondos de la empresa a unos estafadores tras ser engañado para que asistiera a una videoconferencia en la que todos los demás participantes eran deepfakes generados por IA.
Los demás participantes en la videoconferencia eran creaciones de los estafadores, que se hacían pasar por compañeros de trabajo del empleado a pesar de que éste era la única persona real allí. Los otros participantes eran cuentas ficticias basadas en conferencias en línea reales que se habían producido previamente.
«El informante [empleado] recibió una invitación de [el estafador] a una videoconferencia con numerosos participantes. El informante realizó 15 transacciones a cinco cuentas bancarias locales según las instrucciones, por un total de 200 millones de dólares de Hong Kong, porque los individuos de la videoconferencia parecían ser las personas reales». Creo que el estafador descargó vídeos con antelación y luego utilizó IA para añadir voces falsas y utilizarlas en la videoconferencia», declaró el superintendente principal en funciones, Baron Chan.
Los métodos más eficaces para prevenir y detectar las estafas y los compromisos implican mantener la vigilancia. Abstenerse de hacer clic en enlaces de correos electrónicos o sitios web sin confirmar la autenticidad del remitente. Además, instala software antivirus y software de detección de falsificaciones habilitado para IA, y considera la posibilidad de utilizar las funciones de filtrado de paquetes que ofrecen varios proveedores.
La IA agente puede emplearse para combatir la usurpación de identidad en ciberseguridad. Supervisa las configuraciones de identidad en tiempo real, identifica las discrepancias de las comprobaciones de acceso y rectifica de forma autónoma estas desviaciones. Las técnicas de autenticación convencionales pueden fallar a la hora de identificar amenazas de identidad basadas en el comportamiento.
Además, asegúrate de que tus datos más sensibles y valiosos están encriptados para evitar que se transfieran fácilmente en caso de suplantación de identidad.
Comprender la importancia de la gestión de riesgos cibernéticos en la prevención del robo de identidad
Inicialmente, todas las empresas, independientemente de su tamaño, y los consumidores deben aplicar un plan de gestión de riesgos. Los fundamentos del plan deben abarcar la identificación de los activos esenciales para la protección, las amenazas potenciales, las responsabilidades corporativas designadas para la mitigación y la implementación de técnicas de respuesta y mitigación ante incidentes.
Los protocolos de seguridad eficaces para la gestión de riesgos comienzan con la aplicación de un plan funcional y probado para mitigar las amenazas. Esto puede abarcar el cifrado, cortafuegos sofisticados, segregación de información sensible y vigilancia de inteligencia de amenazas. Requiere el desarrollo de un marco para evaluar el conocimiento de la situación, sincronizar las políticas y la formación, mejorar la integración tecnológica y el control de acceso privilegiado, fomentar el intercambio de información, construir capacidades de mitigación y mantener la resistencia cibernética durante las crisis.
En cualquier marco de gestión de riesgos cibernéticos, la higiene cibernética es una necesidad corporativa crucial. Una ciberhigiene eficaz puede evitar las filtraciones y, con frecuencia, permite detectar a un intruso in fraganti. He aquí seis prácticas específicas recomendadas a organizaciones y particulares para mitigar el robo de identidad:
1) Implanta la autenticación multifactor. Se trata de una medida crucial para frustrar el robo de identidad, ya que eleva la dificultad del robo de contraseñas al requerir dos o tres procedimientos para acceder a la información. La autenticación de dos factores puede ser útil, pero ha sido vulnerada. La autenticación multifactor que añade medidas adicionales es prudente. Además, el blockchain y la biometría, como el reconocimiento facial, el escaneado del iris o las huellas dactilares, pueden emplearse para mejorar las medidas de seguridad.
2) Utiliza contraseñas seguras. Los piratas informáticos son expertos en descifrar contraseñas, sobre todo cuando tienen conocimiento de sus anteriores residencias (nombres de calles), fechas de nacimiento y frases preferidas a través de la ingeniería social en plataformas de medios sociales. Utilizar contraseñas robustas y modificarlas periódicamente puede complicar aún más los intentos de los piratas informáticos. Considera la posibilidad de utilizar un gestor de contraseñas si accedes a varios sitios web.
3) Si eres una empresa, administra un programa sólido de gestión de identidades y accesos (IAM). Esto ayudará a garantizar que sólo las personas autorizadas y las funciones designadas dentro de tu empresa puedan acceder a la aparición de nuevas amenazas.
4) Utiliza un ordenador dedicado únicamente a las transacciones financieras, absteniéndose de cualquier otro uso. Las organizaciones deben garantizar la separación y copia de seguridad de sus datos sensibles. Además, contempla la posibilidad de emplear software de cifrado para los datos sensibles que necesiten protección. Y pronto será necesario el cifrado cuántico para mayor seguridad.
5) Es aconsejable revisar regularmente tus calificaciones crediticias, extractos bancarios y cuentas sociales. Numerosas empresas de supervisión confiables ofrecen alertas de cuentas que resultan muy beneficiosas en la búsqueda de la concienciación. Cuanto antes identifiques el fraude, más manejables serán las complicaciones relacionadas con el robo de identidad.
6) Cuenta con una estrategia de resistencia. En última instancia, si se produce una brecha, asegúrate de que dispones de una estrategia para ponerte rápidamente en contacto con tus proveedores y relaciones esenciales. Una reparación a tiempo puede ser la diferencia para que una pequeña o mediana empresa sobreviva a las consecuencias de la quiebra. Si la brecha es especialmente grave, notifícalo a las autoridades policiales, ya que puede estar asociada a una operación delictiva más amplia de la que deberían tener conocimiento.
Abordar las amenazas de ciberseguridad dirigidas a la identidad en el contexto de la IA generativa y agente durante la era cibernética puede ser un reto y requiere un enfoque estratégico integral. Estamos asistiendo a un conjunto nuevo y más complejo de problemas de seguridad física y ciberseguridad que entrañan riesgos sustanciales para las personas, los lugares y las redes comerciales. Todas las entidades son susceptibles, por lo que es necesario aplicar un enfoque global y estratégico a la gestión de los riesgos de seguridad para mitigar las amenazas.
