El fraude que lleva de cabeza a usuarios, bancos y operadoras de telefonía
Seguramente hayas oído hablar de la "estafa del sí", una de las técnicas más recientes para cometer fraude suplantando la identidad de una persona. Consiste en una llamada en la que los estafadores se hacen pasar por una empresa, realizan preguntas para que el usuario responda con un sí, grabar su voz y después utilizarla para dar de alta un servicio de pago. La estafa se extendió de forma tan rápida que la Policía Nacional hizo un llamamiento a los usuarios a ser precavidos y no responder con un sí a las llamadas.
Esta es una forma relativamente sencilla de fraude telefónico, pero el acceso a tecnologías avanzadas como la inteligencia artificial puede hacer que se complique mucho más, lo que incrementa la desconfianza de los usuarios hacia nuevas tecnologías y hacia los canales digitales en general. Pero, ¿es realmente tan fácil "robarnos la voz"?, o ¿es suficiente con pedir a los usuarios que sean precavidos?.
Los nuevos tipos de fraude telefónico o de voz
El fraude por voz es un tipo de fraude de suplantación de la identidad mediante el cual los estafadores se hacen pasar por otra persona para realizar pagos o contratar servicios en su nombre, o incluso directamente para intentar acceder a sus cuentas y realizar cargos indebidos. En este caso se utiliza la voz para identificarse como la persona a la que se intenta suplantar.
Sin embargo, dentro del fraude por voz hay diferentes niveles. La "estafa del sí" es quizás una de las formas más sencillas —lo que ha contribuido a su rápida expansión—, pero hay otras más sofisticadas que utilizan la inteligencia artificial para no solo reproducir la voz, sino por ejemplo para recrear o mantener conversaciones que en realidad la persona nunca ha tenido.
Un ejemplo es el caso que describe INCIBE, el Instituto Nacional de Ciberseguridad, donde unos ciberestafadores se hicieron pasar por el CEO de una empresa. Así, convocó una reunión e hizo que supuestamente se adquiriese una máquina con pago mediante transferencia, máquina que nunca llegó. Esta estafa, conocida como "el fraude del CEO", ha servido para estafar millones a empresas de todo el mundo, y se lleva a cabo mediante una técnica de deep fake llamada deep voice, que clona la voz de la persona para, como hemos comentado, mantener conversaciones haciéndose pasar por ella. Como vemos, es una técnica mucho más avanzada que la simple grabación de una palabra o frase.
Por otra parte, el riesgo no siempre está en responder a una llamada con un simple sí. Según una encuesta global de McAfee, el 53% de personas afirmó compartir regularmente sus datos de voz en línea o en notas grabadas, al menos una vez a la semana. Toda esta actividad genera grabaciones de voz que podrían ser objeto de pirateo o robo, o terminar siendo compartidas de forma accidental o intencionada con delincuentes.
Lo que está claro es que, a diferentes niveles, ya sea mediante una técnica más simple como una grabación y para importes más pequeños, o con sofisticadas técnicas de inteligencia artificial para estafar millones, nadie está exento del riesgo del fraude por voz. Retomamos una de las preguntas iniciales: ante estafas tan masivas o sofisticadas, ¿es suficiente ser prevenidos?
Lo cierto es que, aunque se trate de una técnica más simple, es difícil estar siempre con el máximo nivel de alerta, aún más si el usuario está esperando una llamada de su banco o empresa y cree estar seguro de que la llamada es legítima; en el caso de los fraudes por deep voice, ¿cómo puede una persona detectar que con quién está hablando no es la persona que parece ser, si la voz está reproducida de forma totalmente fidedigna? Según el estudio de McAfee, el 70% de personas no están seguras al intentar distinguir entre una voz clonada y una voz real.
¿De quién es la responsabilidad ante un caso de fraude telefónico o el fraude por voz?
Ante el auge de este tipo de delitos, tanto usuarios como empresas se preguntan quién tiene la responsabilidad de asumir las consecuencias, especialmente las económicas. Por otro lado, surge también la duda sobre quién es el principal responsable de implementar las medidas de seguridad para que esto no suceda.
Desde organismos y entidades se recomienda utilizar el sentido común, tener una actitud crítica ante contactos por canales no habituales y, en caso de duda, llamar directamente a la persona implicada para contrastar la información.
Este es el argumento de diferente jurisprudencia, como cuando en 2022 el Tribunal de Cuentas criticó a una entidad bancaria por falta de prevención ante un fraude por voz que costó millones a una gran empresa. Es precisamente el alcance de la responsabilidad de las diferentes partes implicadas lo que el Ministerio para la Transformación Digital, bancos y operadoras están debatiendo sobre situaciones donde el banco cumple con los protocolos de seguridad, pero el cliente tampoco ha incurrido en negligencia grave con sus datos bancarios.
El factor agravante en estas situaciones es que también se utiliza el spoofing telefónico, una técnica que suplanta incluso el identificador de llamada de sucursales bancarias. El alcance es tal que entidades bancarias, operadoras de telefonía y el propio Gobierno están trabajando para lograr una solución conjunta que permita autenticar las llamadas.
¿Cómo podemos prevenir el fraude por voz?
Ante estos escenarios, y aunque por supuesto los usuarios no debemos bajar la guardia, queda claro que no es suficiente con estar alerta, sino que se deben implementar medidas de seguridad más complejas.
Por ejemplo, un sistema de autenticación biométrica avanzado permite reconocer los deepfakes o detectar cuando una voz es una grabación.
Además, los sistemas avanzados de verificación y autenticación de la identidad tienen varias capas de seguridad, como la geolocalización, la identificación del dispositivo o incluso sistemas avanzados de biometría comportamental, que detectan si hay indicios de que la llamada sea falsa, lo que permitiría realizar comprobaciones adicionales para garantizar la autenticidad de la operación que se intenta llevar a cabo.
Estos sistemas realizan una captura de datos biométricos de la persona, extraen una biometría única y crean una plantilla, de forma que los datos biométricos no se pueden robar para utilizarlos o falsificarlos. Cuando la persona quiere autenticarse para realizar una operación o acceder a sus cuentas, el sistema compara la voz con la plantilla almacenada y comprueba si son coincidentes.
De esta forma, se utilizan tecnologías avanzadas para detectar los intentos de fraude por voz, ya sean con simples grabaciones o técnicas con inteligencia artificial, al mismo tiempo que se facilita el acceso de los usuarios a su información y gestiones.
¿Cómo evitar el fraude online con biometría?