Según el banco, los estafadores están utilizando inteligencia artificial para replicar campañas y sitios, y engañar a los usuarios con mayor rapidez.
Escucharás mucho más fraude financiero en los próximos meses. Todos los beneficios que trajo la inteligencia artificial tienen su efecto colateral en la ciberdelincuencia.
Los estafadores cibernéticos lo saben. Y los bancos también.
Este martes, el banco Itaú contó a periodistas algunas de los temas que más están ocurriendo en este momento en Uruguay.
El director de Riesgos de Itaú, Fernando Barrán, explicó que desde la institución están viendo "un incremento sustancial de la cantidad de casos de personas que son objeto de fraudes”. Y aseguró que sucede "en todos los rangos etarios".
Esta afirmación del ejecutivo tiene consonancia con un informe del Ministerio del Interior que aseguró que las denuncias por el delito de estafas viene aumentando a un ritmo acelerado. En los últimos 10 años aumentaron un 1242%. Y en 2024 hubo 25 mil, casi 5 mil más que el año anterior.
Según dijo, los fraudes actuales responden, en general, a dos mecanismos principales.
En uno, un tercero accede sin permiso a los datos del cliente y realiza operaciones a su nombre (las personas que caen en un caso de phihshing, como el que está en la foto adjunta). En el otro, la propia víctima lleva adelante la transacción, pero lo hace bajo engaño.
“Muchas veces la persona que hace la transferencia es la misma que fue defraudada. Cree que está actuando bien, pero fue engañada por alguien que logró convencerla”, explicó.
Ambos caminos conducen al mismo resultado: una operación legítima en apariencia, pero ejecutada con información manipulada o robada.
En la mayoría de los casos, los ataques se apoyan en prácticas comunes. Un ejemplo es buscar el nombre del banco en Google, en lugar de escribir directamente la dirección.
No siempre, pero muchas veces los estafadores compran espacios publicitarios y colocan sitios falsos como primer resultado del buscador. “Ese link puede parecer el del banco, pero no lo es. Es un sitio clonado”, dijo Barrán.
Una vez dentro, la página falsa solicita usuario y contraseña. Luego pide el segundo factor de autenticación “por razones de seguridad”. El código que efectivamente envía el banco es entregado por la víctima sin saber que está completando una estafa.
Los estafadores aprovechan las distracciones y la urgencia de los usuarios. En un mundo donde todo "es a un clic", los ciberdelincuentes conocen a la perfección estos comportamientos.
“Todo es rápido, todo es apurado. No hay tiempo para pensar lo que se está haciendo”, señaló Barrán al explicar por qué muchas personas caen en estas trampas.
El ritmo acelerado con el que se interactúa con la tecnología hace que no se detenga a leer los mensajes, verificar un correo o revisar una dirección web. Esa urgencia es clave para que los fraudes funcionen.
Itaú reconoce que el modelo actual de prevención está centrado en el usuario. Es el cliente quien ingresa la clave, reconoce los mensajes, autoriza las transferencias y valida las operaciones.
“En la inmensa mayoría de los casos, el punto débil está en el cliente. No por falta de voluntad, sino porque el sistema lo pone en ese lugar”, explicó el director de Riesgos.
Cuando un cliente entrega su usuario, su clave y su segundo factor de autenticación, aunque haya sido engañado, el banco ya no tiene herramientas para detener la operación.
En 2023, Uruguay habilitó las transferencias instantáneas. Desde entonces, no pararon de crecer.Según datos oficiales del Banco Central (BCU), entre enero y junio se realizaron 9 millones de transferencias instantáneas. Esto equivale a un promedio de 34 operaciones automáticas por minuto dentro del sistema financiero.
Esto mejoró la experiencia del usuario, pero redujo drásticamente la capacidad de reacción ante fraudes. “Cuando la operación es instantánea, el dinero ya no se puede frenar. No hay forma de detener la transferencia una vez enviada”, señaló.
Si el cliente advierte el engaño minutos después, ya es tarde: los fondos fueron retirados o transferidos a nuevas cuentas.
Aunque menos visibles, las operaciones fraudulentas con tarjeta siguen siendo comunes. La mayoría ocurre sin que la tarjeta física esté presente.
Se trata de compras en línea donde basta con tener los 16 dígitos, el nombre del titular y el código de seguridad. Esa información puede haber sido obtenida en hackeos, filtraciones o mediante cámaras ocultas en comercios.
“Hay casos donde el POS está debajo del mostrador. La tarjeta se pasa, se graba, y la operación real se hace más tarde, en otro sitio”, explicó Barrán.
Ante un caso de fraude, puede haber hasta cuatro actores involucrados: el banco, el cliente, el comercio y la compañía de seguros.
Según Itaú, si el banco incumple el marco regulatorio, debe hacerse cargo. Pero si el cliente entregó sus datos voluntariamente, aunque haya sido víctima de un engaño, puede que la pérdida sea asumida por él, salvo que haya contratado un seguro.
“Los seguros no cubren fallas del banco, cubren riesgos que están fuera del control de la institución, como puede ser una distracción del cliente”, aclaró.
Los estafadores están utilizando inteligencia artificial para replicar campañas legítimas del banco. En segundos pueden generar imágenes, textos y sitios idénticos a los originales.
Esto sucede, mayormente, cuando lanzan beneficios y quieren hacer una comunicación personalizada al cliente.
“Cuando lanzamos una campaña, treinta segundos después aparece una versión falsa. Con los mismos colores, los mismos logos, el mismo estilo”, dijo.
En respuesta, Itaú también comenzó a usar inteligencia artificial para autenticar a sus clientes. No solo se verifica el usuario y la clave: también se analiza el comportamiento habitual, la ubicación, el tipo de dispositivo y la hora de conexión.
“Se trata de saber si quien está operando lo hace como lo haría nuestro cliente. Si ese patrón cambia, puede haber una alerta”, explicó.
Barrán dijo que el banco Itaú, ni ningún banco, NUNCA piden información personal por mail ni rellenar ningún formulario que implique colocar datos personales.
Además, es indispensable prestar atención a los links donde se invita a los usuarios a rellenar esos formularios. En uno de los links, si bien en el texto aparece un sitio web real de Itaú, cuando un usuario cliquea, lo lleva a una web fraudulenta.
Los expertos instan a revisar los remitentes. En el caso de la imagen el mail es support@abidal.es, un dominio que nada tiene que ver con el banco.
Uno de los reclamos que el banco dejó planteado es la falta de información pública sobre la magnitud del fraude financiero en Uruguay.
“No tenemos datos oficiales. Ni del Banco Central, ni del sistema judicial. No sabemos cuántos casos se denuncian, ni cuántos se resuelven”, sostuvo Barrán.
Esa carencia limita la posibilidad de desarrollar políticas públicas efectivas. Según el banco, gestionar un problema sin datos es operar a ciegas.
