Cyber Signals Número 9 | Engaño impulsado por IA: amenazas de fraude emergentes y contramedidas

Por: Equipo de Microsoft Security.

Microsoft mantiene un esfuerzo continuo para proteger sus plataformas y clientes del fraude y el abuso. Desde el bloqueo de impostores en Microsoft Azure y la adición de funciones antiestafa a Microsoft Edge, hasta la lucha contra el fraude de soporte técnico con nuevas características en Windows Quick Assist, esta edición de Cyber Signals los lleva al interior del trabajo en curso y los hitos importantes logrados que protegen a los clientes.

Todos somos defensores.

Entre abril de 2024 y abril de 2025, Microsoft:

• Frustró $4 mil millones en intentos de fraude.
• Se rechazaron 49,000 inscripciones fraudulentas de sociedades.
• Bloqueó alrededor de 1,6 millones de intentos de registro de bots por hora.

La evolución de las estafas cibernéticas mejoradas por IA

La IA ha comenzado a bajar el listón técnico para los actores del fraude y la ciberdelincuencia que buscan sus propias herramientas de productividad, lo que facilita y abarata la generación de contenidos creíbles para los ciberataques a un ritmo cada vez más rápido. El software de IA utilizado en los intentos de fraude abarca toda la gama, desde aplicaciones legítimas utilizadas de manera indebida con fines maliciosos hasta herramientas más orientadas al fraude utilizadas por malos actores en la ciberdelincuencia clandestina.

Las herramientas de IA pueden escanear y raspar la web en busca de información de la empresa, lo que ayuda a los ciberatacantes a crear perfiles detallados de los empleados u otros objetivos para crear señuelos de ingeniería social altamente convincentes. En algunos casos, los malos actores atraen a las víctimas a esquemas de fraude cada vez más complejos por medio de reseñas de productos falsas mejoradas con IA y escaparates generados por IA, donde los estafadores crean sitios web completos y marcas de comercio electrónico, con historiales comerciales falsos y testimonios de clientes. Mediante el uso de deepfakes, clonación de voz, correos electrónicos de phishing y sitios web falsos de aspecto auténtico, los actores de amenazas buscan parecer legítimos a mayor escala.

Según el equipo antifraude de Microsoft, los ataques de fraude impulsados por IA ocurren a nivel mundial, y gran parte de la actividad proviene de China y Europa, en específico de Alemania, debido en parte al estatus de Alemania como uno de los mercados de comercio electrónico y servicios en línea más grandes de la Unión Europea (UE). Cuanto más grande sea un mercado digital en cualquier región, más probable será que se produzca un grado proporcional de intento de fraude.

Fraude en el comercio electrónico

Los sitios web de comercio electrónico fraudulentos se pueden configurar en minutos por medio de IA y otras herramientas que requieren un conocimiento técnico mínimo. Antes, los actores de amenazas tardaban días o semanas en crear sitios web convincentes. Estos sitios web fraudulentos a menudo imitan sitios legítimos, lo que dificulta que los consumidores los identifiquen como falsos.

Mediante el uso de descripciones de productos, imágenes y reseñas de clientes generadas por IA, se engaña a los clientes para que crean que interactúan con un comerciante genuino, para explotar la confianza del consumidor en marcas conocidas.

Los chatbots de servicio al cliente impulsados por IA agregan otra capa de engaño al interactuar de manera convincente con los clientes. Estos bots pueden retrasar las devoluciones de cargos al detener a los clientes con excusas programadas y manipular las quejas con respuestas generadas por IA que hacen que los sitios fraudulentos parezcan profesionales.

En un enfoque múltiple, Microsoft ha implementado defensas sólidas en todos nuestros productos y servicios para proteger a los clientes del fraude impulsado por IA. Microsoft Defender for Cloud proporciona una protección completa contra amenazas para los recursos de Azure, incluidas las evaluaciones de vulnerabilidades y la detección de amenazas para máquinas virtuales, imágenes de contenedor y puntos de conexión.

Microsoft Edge ofrece protección contra errores tipográficos de sitios web y protección contra suplantación de dominio mediante tecnología de aprendizaje profundo para ayudar a los usuarios a evitar sitios web fraudulentos. Edge también ha implementado un bloqueador de scareware basado en aprendizaje automático  para identificar y bloquear posibles páginas fraudulentas y pantallas emergentes engañosas con advertencias alarmantes que afirman que una computadora se ha visto comprometida. Estos ataques intentan asustar a los usuarios para que llamen a números de soporte fraudulentos o descarguen software dañino.

Fraude laboral y de empleo

El rápido avance de la IA generativa ha facilitado a los estafadores la creación de listados falsos en varias plataformas de trabajo. Generan perfiles falsos con credenciales robadas, ofertas de trabajo falsas con descripciones generadas en automático y campañas de correo electrónico impulsadas por IA para suplantar a los solicitantes de empleo. Las entrevistas impulsadas por IA y los correos electrónicos automatizados mejoran la credibilidad de las estafas laborales, lo que dificulta que los solicitantes de empleo identifiquen las ofertas fraudulentas.

Para evitarlo, las plataformas de empleo deben introducir la autenticación multifactor para las cuentas de los empleadores a fin de dificultar que los malos actores se apoderen de los listados de los contratantes legítimos y utilizar las tecnologías de detección de fraude disponibles para detectar contenidos sospechosos.

Los estafadores a menudo solicitan información personal, como currículums o incluso detalles de cuentas bancarias, con el pretexto de verificar la información del solicitante. Los mensajes de texto y correo electrónico no solicitados que ofrecen oportunidades de empleo que prometen un salario alto por calificaciones mínimas suelen ser un indicador de fraude.

Las ofertas de empleo que incluyen solicitudes de pago, ofertas que parecen demasiado buenas para ser verdad, ofertas no solicitadas o solicitudes de entrevistas por mensaje de texto y la falta de plataformas de comunicación formales pueden ser indicadores de fraude.

Estafas de soporte técnico

Las estafas de soporte técnico son un tipo de fraude en el que los estafadores engañan a las víctimas para que presten servicios de soporte técnico innecesarios para solucionar un dispositivo o problemas de software que no existen. Luego, los estafadores pueden obtener acceso remoto a una computadora, lo que les permite acceder a toda la información almacenada en ella y en cualquier red conectada a ella, o instalar malware que les da acceso a la computadora y a datos confidenciales.

Las estafas de soporte técnico son un caso en el que existen riesgos de fraude elevados, incluso si la IA no desempeña un papel. Por ejemplo, a mediados de abril de 2024, Microsoft Threat Intelligence observó que el grupo de ciberdelincuentes Storm-1811, con motivaciones financieras y centrado en el ransomware,  abusaba del  software Windows Quick Assist haciéndose pasar por soporte informático. Microsoft no observó el uso de IA en estos ataques; En cambio, Storm-1811 se hizo pasar por organizaciones legítimas a través de phishing de voz (vishing) como una forma de ingeniería social, que convencen a las víctimas de que les otorgaran acceso al dispositivo a través de Quick Assist. 

Quick Assist es una herramienta que permite a los usuarios compartir su dispositivo Windows o macOS con otra persona a través de una conexión remota. Los estafadores de soporte técnico a menudo fingen ser soporte de TI legítimo de empresas conocidas y utilizan tácticas de ingeniería social para ganarse la confianza de sus objetivos. A continuación, intentan emplear herramientas como Quick Assist para conectarse al dispositivo del objetivo.

Quick Assist y Microsoft no se ven comprometidos en estos escenarios de ciberataques; sin embargo, el abuso de software legítimo presenta un riesgo que Microsoft se centra en mitigar. Informados por la comprensión de Microsoft de la evolución de las técnicas de ciberataque, los equipos antifraude y de productos de la compañía trabajan en estrecha colaboración para mejorar la transparencia para los usuarios y mejorar las técnicas de detección de fraude.

Los ciberataques Storm-1811 ponen de manifiesto la capacidad de la ingeniería social para eludir las defensas de seguridad. La ingeniería social consiste en recopilar información relevante sobre las víctimas objetivo y organizarla en señuelos creíbles entregados por teléfono, correo electrónico, mensaje de texto u otros medios. Varias herramientas de IA pueden encontrar, organizar y generar información rápidamente, actuando así como herramientas de productividad para los ciberatacantes. Aunque la IA es un desarrollo nuevo, las medidas duraderas para contrarrestar los ataques de ingeniería social son todavía muy eficaces. Estos incluyen aumentar la concienciación de los empleados sobre los procedimientos legítimos de contacto y soporte del servicio de asistencia, y aplicar los principios de Zero Trust para hacer cumplir el privilegio mínimo en todas las cuentas y dispositivos de los empleados, para limitar el impacto de cualquier activo comprometido mientras se aborda.

Microsoft ha tomado medidas para mitigar los ataques de Storm-1811 y otros grupos mediante la suspensión de cuentas identificadas e inquilinos asociados con comportamientos no auténticos. Si recibe una oferta de soporte técnico no solicitada, es probable que se trate de una estafa. Comuníquense siempre con fuentes confiables para obtener soporte técnico. Si los estafadores afirman ser de Microsoft, los animamos a que nos lo informen de manera directa en https://www.microsoft.com/reportascam.

Sobre la base de la Iniciativa de Futuro Seguro (SFI, por sus siglas en inglés), Microsoft adopta un enfoque proactivo para garantizar que nuestros productos y servicios sean «resistentes al fraude por diseño». En enero de 2025, se introdujo una nueva política de prevención de fraudes: los equipos de productos de Microsoft ahora deben realizar evaluaciones de prevención de fraudes e implementar controles de fraude como parte de su proceso de diseño. 

Recomendaciones

• Refuercen la autenticación del empleador: Los estafadores a menudo secuestran perfiles legítimos de empresas o crean reclutadores falsos para engañar a los solicitantes de empleo. Para evitar esto, las plataformas de empleo deben introducir la autenticación multifactor y el identificador verificado como parte del identificador de Microsoft Entra para las cuentas del empleador, lo que dificulta que los usuarios no autorizados obtengan el control.
• Vigilen las estafas de contratación basadas en IA: Las empresas deben implementar algoritmos de detección de deepfakes para identificar las entrevistas generadas por IA en las que las expresiones faciales y los patrones de habla pueden no alinearse de forma natural.
• Tengan cuidado con los sitios web y las ofertas de trabajo que parecen demasiado buenos para ser verdad: verifiquen la legitimidad de los sitios web al comprobar si hay conexiones seguras (https) y utilizar herramientas como la protección contra errores tipográficos de Microsoft Edge.
• Eviten proporcionar información personal o detalles de pago a fuentes no verificadas: busquen señales de alerta en las ofertas de trabajo, como solicitudes de pago o comunicación a través de plataformas informales como mensajes de texto, WhatsApp, cuentas de Gmail no comerciales o solicitudes para comunicarse con alguien en un dispositivo personal para obtener más información.

Uso de la señal de seguridad de Microsoft para combatir el fraude

Microsoft trabaja de manera activa para detener los intentos de fraude mediante la IA y otras tecnologías mediante la evolución de modelos de detección a gran escala basados en la IA, como el aprendizaje automático, para jugar a la defensiva y aprender y mitigar los intentos de fraude. El aprendizaje automático es el proceso que ayuda a una computadora a aprender sin instrucciones directas por medio de algoritmos para descubrir patrones en grandes conjuntos de datos. Esos patrones se utilizan para crear un modelo de IA completo, lo que permite predicciones con alta precisión.

Hemos desarrollado controles de seguridad en el producto que advierten a los usuarios sobre posibles actividades maliciosas e integran la detección rápida y la prevención de nuevos tipos de ataques.

Nuestro equipo de fraude ha desarrollado la protección contra la suplantación de dominio por medio de tecnología de aprendizaje profundo en la etapa de creación del dominio, para ayudar a protegerse contra sitios web de comercio electrónico fraudulentos y listados de trabajo falsos. Microsoft Edge ha incorporado la protección contra errores tipográficos en el sitio web y hemos desarrollado sistemas de detección de trabajos falsos impulsados por IA para LinkedIn.

Microsoft Defender Smartscreen es una característica de seguridad basada en la nube que tiene como objetivo evitar hábitos de navegación inseguros mediante el análisis de sitios web, archivos y aplicaciones en función de su reputación y comportamiento. Está integrado en Windows y en el navegador Edge para ayudar a proteger a los usuarios de ataques de phishing, sitios web maliciosos y descargas potencialmente dañinas.

Además, la Unidad de Delitos Digitales (DCU, por sus siglas en inglés) de Microsoft se asocia con otros en el sector público y privado para interrumpir la infraestructura maliciosa utilizada por los delincuentes que perpetúan el fraude cibernético. La larga colaboración del equipo con las fuerzas del orden de todo el mundo para responder al fraude de soporte técnico ha dado lugar a cientos de detenciones y sentencias de prisión cada vez más severas en todo el mundo. La DCU aplica los aprendizajes clave de acciones pasadas para interrumpir a aquellos que buscan abusar de la tecnología de IA generativa con fines maliciosos o fraudulentos.

Las funciones de Asistencia Rápida y la ayuda remota combaten el fraude de soporte técnico

Para ayudar a combatir el fraude de soporte técnico, hemos incorporado mensajes de advertencia para alertar a los usuarios sobre posibles estafas de soporte técnico en Asistencia rápida antes de que otorguen acceso a alguien que se acerque a ellos y que pretenda ser un departamento de TI autorizado u otro recurso de soporte.

Los usuarios de Windows deben leer y hacer clic en la casilla para reconocer el riesgo de seguridad de conceder acceso remoto al dispositivo.

Microsoft ha mejorado de manera significativa la protección de Quick Assist para los usuarios de Windows al aprovechar su señal de seguridad. En respuesta a las estafas de soporte técnico y otras amenazas, Microsoft ahora bloquea un promedio de 4,415 intentos sospechosos de conexión de Quick Assist al día, lo que representa cerca del 5.46% de los intentos de conexión globales. Estos bloques se dirigen a conexiones que muestran atributos sospechosos, como asociaciones con actores maliciosos o conexiones no verificadas.

El enfoque continuo de Microsoft en el avance de las salvaguardas de Quick Assist busca contrarrestar a los ciberdelincuentes adaptativos, que antes se dirigían a las personas de manera oportunista con intentos de conexión fraudulentos, pero de manera más reciente han buscado apuntar a empresas con campañas de ciberdelincuencia más organizadas que las acciones de Microsoft han ayudado a interrumpir.

Nuestra capacidad de huellas dactilares digitales, que aprovecha la IA y el aprendizaje automático, impulsa estas salvaguardas al proporcionar señales de fraude y riesgo para detectar actividades fraudulentas. Si nuestras señales de riesgo detectan una posible estafa, la sesión de Asistencia rápida finaliza en automático. La huella digital funciona mediante la recopilación de diversas señales para detectar y prevenir fraudes.

Para las empresas que luchan contra el fraude de soporte técnico, la ayuda remota es otro recurso valioso para los empleados. La Ayuda Remota está diseñada para uso interno dentro de una organización e incluye características que la hacen ideal para las empresas.

Al reducir las estafas y el fraude, Microsoft tiene como objetivo mejorar la seguridad general de sus productos y proteger a sus usuarios de actividades malintencionadas.

Consejos para la protección del consumidor

Los estafadores explotan desencadenantes psicológicos como la urgencia, la escasez y la confianza en la prueba social. Los consumidores deben tener cuidado con:

• Compras impulsivas: los estafadores crean un sentido de urgencia con ofertas por «tiempo limitado» y temporizadores de cuenta regresiva.
• Confiar en pruebas sociales falsas: la IA genera reseñas falsas, respaldos de influencers y testimonios para parecer legítimos.
• Hacer clic en anuncios sin verificación: muchos sitios fraudulentos se propagan a través de anuncios de redes sociales optimizados para IA. Los consumidores deben verificar los nombres de dominio y las reseñas antes de comprar.
• Ignorar la seguridad de los pagos: evite las transferencias bancarias directas o los pagos con criptomonedas, que carecen de protecciones contra el fraude.

Los solicitantes de empleo deben verificar la legitimidad del empleador, estar atentos a las señales de alerta comunes de estafas laborales y evitar compartir información personal o financiera con empleadores no verificados.

• Verifiquen la legitimidad del empleador: verifiquen los detalles de la empresa en LinkedIn, Glassdoor y los sitios web oficiales para verificar la legitimidad.
• Observen las señales de alerta comunes de las estafas laborales: si un trabajo requiere pagos por adelantado para materiales de capacitación, certificaciones o verificaciones de antecedentes, es probable que sea una estafa. Los salarios poco realistas o los puestos remotos que no requieren experiencia deben abordarse con escepticismo. Los correos electrónicos de dominios gratuitos (como johndoehr@gmail.com en lugar de hr@company.com) también suelen ser indicadores de actividad fraudulenta.
• Tengan cuidado con las entrevistas y comunicaciones generadas por IA: si una entrevista en video parece poco natural, con retrasos en la sincronización de labios, habla robótica o expresiones faciales extrañas, podría tratarse de tecnología deepfake en funcionamiento. Los solicitantes de empleo siempre deben verificar las credenciales del reclutador a través del sitio web oficial de la empresa antes de participar en más discusiones.
• Eviten compartir información personal o financiera: bajo ninguna circunstancia deben proporcionar un número de Seguro Social, detalles bancarios o contraseñas a un empleador no verificado.

Microsoft también es miembro de la Global Anti-Scam Alliance  (GASA), cuyo objetivo es reunir a gobiernos, fuerzas del orden, organizaciones de protección al consumidor, autoridades y proveedores financieros, agencias de protección de marca, redes sociales, proveedores de servicios de Internet y empresas de ciberseguridad para compartir conocimientos y proteger a los consumidores de ser estafados.

Recomendaciones

• Ayuda Remota: Microsoft recomienda usar Ayuda Remota en lugar de Asistencia Rápida para el soporte técnico interno. La Ayuda Remota está diseñada para uso interno dentro de una organización e incorpora varias características diseñadas para mejorar la seguridad y minimizar el riesgo de hackeos de soporte técnico. Está diseñado para usarse solo dentro del inquilino de una organización, lo que proporciona una alternativa más segura a Quick Assist.
• Huellas dactilares digitales: identifica comportamientos maliciosos y los vincula a individuos específicos. Esto ayuda a monitorear y prevenir el acceso no autorizado.
• Bloqueo de solicitudes de control total: Quick Assist ahora incluye advertencias y requiere que los usuarios marquen una casilla que reconozca las implicaciones de seguridad de compartir su pantalla. Esto agrega una capa de «fricción de seguridad» útil al solicitar a los usuarios que pueden realizar múltiples tareas o preocupados que hagan una pausa para completar un paso de autorización.

Kelly Bissell: un pionero de la ciberseguridad que lucha contra el fraude en la nueva era de la IA

El recorrido de Kelly Bissell hacia la ciberseguridad comenzó de manera inesperada en 1990. En un inicio trabajó en ciencias de la computación, donde Kelly estuvo involucrado en la creación de software para la contabilidad de pacientes de atención médica y sistemas operativos en Medaphis y Bellsouth, ahora AT&T.

Su interés por la ciberseguridad se despertó cuando se dio cuenta de que alguien se conectaba a un conmutador de teléfono para intentar obtener llamadas de larga distancia gratuitas y rastreó al intruso hasta Rumanía. Este incidente marcó el comienzo de la carrera de Kelly en ciberseguridad.

«Me dediqué a la ciberseguridad en la caza de malos actores, para integrar controles de seguridad para cientos de empresas y ayudando a dar forma a los marcos de seguridad y las regulaciones del NIST, como FFIEC, PCI, NERC-CIP», explica.

En la actualidad, Kelly es vicepresidente corporativo de Antifraude y Abuso de Productos en Microsoft Security. El equipo de fraude de Microsoft emplea el aprendizaje automático y la inteligencia artificial para crear un mejor código de detección y comprender las operaciones de fraude. Utilizan soluciones impulsadas por IA para detectar y prevenir amenazas cibernéticas, para aprovechar marcos avanzados de detección de fraude que aprenden y evolucionan continuamente.

«La ciberdelincuencia es un problema de un billón de dólares, y ha ido en aumento cada año durante los últimos 30 años. Creo que hoy tenemos la oportunidad de adoptar la IA más rápido para que podamos detectar y cerrar la brecha de exposición con rapidez. Ahora tenemos IA que puede marcar la diferencia a escala y ayudarnos a crear protecciones de seguridad y fraude en nuestros productos mucho más rápido».

Antes, Kelly dirigió el Equipo de Detección y Respuesta de Microsoft (DART, por sus siglas en inglés) y creó el equipo de Búsqueda Global, Supervisión y Triaje Estratégico (GHOST, por sus siglas en inglés) que detectó y respondió a atacantes como Storm-0558 y Midnight Blizzard.

Antes de Microsoft, durante su tiempo en Accenture y Deloitte, Kelly colaboró con empresas y trabajó de manera extensa con agencias gubernamentales como la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional y la Oficina Federal de Investigaciones, donde ayudó a construir sistemas de seguridad dentro de sus operaciones.

Su tiempo como director de seguridad de la información (CISO, por sus siglas en inglés) en un banco lo expuso a abordar tanto la ciberseguridad como el fraude, lo que lo llevó a participar en la configuración de las pautas regulatorias para proteger a los bancos y, por último, a Microsoft.

Kelly también ha desempeñado un papel importante en la configuración de las regulaciones en torno al Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) y el cumplimiento de la Industria de Tarjetas de Pago (PCI, por sus siglas en inglés), que ayuda a garantizar la seguridad de las transacciones con tarjetas de crédito de las empresas, entre otros.

A nivel internacional, Kelly desempeñó un papel crucial para ayudar a establecer agencias y mejorar las medidas de ciberseguridad. Como consultor en Londres, ayudó a poner en marcha el Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés) del Reino Unido, que forma parte del Cuartel General de Comunicaciones del Gobierno (GCHQ, por sus siglas en inglés), el equivalente a CISA. Los esfuerzos de Kelly en la moderación de contenido con varias empresas de redes sociales, incluida YouTube, fueron fundamentales para eliminar el contenido dañino.

Es por eso que está entusiasmado con la asociación de Microsoft con GASA. GASA reúne a gobiernos, fuerzas del orden, organizaciones de protección al consumidor, autoridades financieras, proveedores de servicios de Internet, empresas de ciberseguridad y otros para compartir conocimientos y definir acciones conjuntas para proteger a los consumidores de ser estafados.

«Si protejo a Microsoft, eso es bueno, pero no es suficiente. De la misma manera, si Apple hace lo suyo y Google hace lo suyo, pero si no trabajamos juntos, todos habremos perdido la mayor oportunidad. Debemos compartir información sobre delitos cibernéticos entre nosotros y educar al público. Si podemos tener un enfoque triple en el que las empresas tecnológicas incorporen la seguridad y la protección contra el fraude en sus productos, la concienciación pública y el intercambio de información sobre la ciberdelincuencia y los estafadores con las fuerzas del orden, creo que podemos marcar una gran diferencia», afirma.

Siguientes pasos con Microsoft Security

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

Metodología: Las plataformas y servicios de Microsoft, incluidos Azure, Microsoft Defender para Office, Microsoft Threat Intelligence y la Unidad de Delitos Digitales (DCU) de Microsoft, proporcionaron datos anónimos sobre la actividad y las tendencias de los actores de amenazas. Además, Microsoft Entra ID proporcionó datos anónimos sobre la actividad de amenazas, como cuentas de correo electrónico malintencionadas, correos electrónicos de phishing y movimiento de atacantes dentro de las redes. La información adicional proviene de las señales de seguridad diarias obtenidas en Microsoft, incluida la nube, los puntos de conexión, el entorno inteligente y la telemetría de las plataformas y servicios de Microsoft. La cifra de 4.000 millones de dólares representa un total agregado de intentos de fraude y estafa contra Microsoft y nuestros clientes en los segmentos de consumidores y empresas (en 12 meses).