El 14 de abril próximo pasado, el operativo Ícaro destapó lo que muchos sospechaban y pocos querían admitir: una red de jóvenes de entre 18 y 20 años, que utilizaban técnicas de phishing y smishing, así como otras modalidades de ingeniería social para acceder a vulnerar una pasarela de pago y lograr desviar G. 9.000.000.000 en apenas tres días. Los autores usaron más de 1.900 cuentas “mula”, entre billeteras electrónicas y entidades financieras, para dispersar los fondos y luego los convirtieron en criptomonedas para romper la trazabilidad.
El cuadro no termina ahí. Un caso ocurrido este año, en el que se logró recuperar USD 8.260.000 para una empresa multinacional del Alto Paraná, víctima de un ataque BEC (Business Email Compromise) en el que los delincuentes suplantaron la identidad del gerente general para redirigir un pago internacional. Ni las grandes corporaciones están a salvo.
Las estafas, sin embargo, no son novedad. El patrón de vaciamiento de cuentas persistente, mediante llamadas falsas de supuestos funcionarios que instruían a las víctimas a operar en cajeros automáticos para “autorizar sin saberlo” cambios de PIN transaccional, lleva años circulando. La respuesta institucional de turno siempre ha sido la misma: el sistema utilizado por la entidad es seguro y libre de riesgos, por lo que el acceso de los delincuentes se habría producido por contraseñas débiles.
El problema tiene dos rostros. Por un lado, el avance de la inteligencia artificial configura un escenario en el que el engaño resulta más rápido, más creíble y más difícil de detectar: deepfakes, clonación de voz, sitios bancarios clonados con precisión quirúrgica y chatbots que responden mejor que algunos ejecutivos de atención al cliente. Todas esas modalidades se realizan ahora de manera masiva.
Por el otro, persiste una complicidad pasiva del usuario que, presa del pánico o de la ingenuidad, entrega sus credenciales, confirma botones sin leer y presta cuentas “sin saber” a redes criminales. La Fiscalía investiga a unas 400 personas que habrían colaborado con la estructura delictiva del operativo Ícaro, personas que, en su mayoría, probablemente pensaron que no estaban haciendo nada malo.
Lo que resulta, sin embargo, menos excusable es el silencio cómodo de la banca agremiada, que prepara su segunda convención para agosto, con agenda sobre inteligencia artificial y ciberseguridad, mientras las apps bancarias siguen recibiendo reseñas que describen errores sistemáticos, sesiones que se bloquean sin equivocación del usuario y movimientos de tarjeta que tardan días en actualizarse, sin que medie comunicación institucional alguna sobre los riesgos que esas fallas generan. No se han emitido pronunciamientos claros, coordinados y didácticos sobre cómo opera el fraude con IA. La transparencia, al parecer, es un activo que todavía no figura en los balances.
En palabras de Warren Buffett: “El riesgo viene de no saber lo que estás haciendo”.
+595 981 573157
X: @MigueGaspar