La combinación de ingeniería social e inteligencia artificial ha elevado el nivel de sofisticación, permitiendo ataques más creíbles, personalizados y difíciles de detectar tanto para consumidores como para empresas.

El fraude financiero ya no se parece al de antes

Según advierte Trend Micro, las campañas masivas y poco elaboradas han dado paso a estrategias mucho más precisas. 

Los ciberdelincuentes ya no confían únicamente en correos genéricos con errores evidentes, sino que construyen engaños a medida, adaptados al perfil y al contexto de cada víctima. 

Tal y como explica David Sancho, investigador senior de seguridad de la compañía, los delincuentes han entendido que una sola brecha en una empresa puede abrir la puerta a transferencias elevadas, acceso a información sensible o fraudes encadenados. 

El objetivo ya no es solo robar dinero, sino controlar procesos y aprovechar la confianza interna.

Cuentas personales como puerta de entrada

En el ámbito del consumidor, las estafas bancarias tradicionales siguen existiendo, pero su efectividad ha disminuido debido a la autenticación reforzada y a los sistemas antifraude de las entidades financieras. 

Esto ha desplazado el foco hacia cuentas de servicios cotidianos, como plataformas de comercio electrónico, aplicaciones de reparto, redes sociales o correos electrónicos.

El interés no siempre está en realizar grandes cargos inmediatos. Muchas veces se buscan pequeñas transacciones repetidas o el acceso a cuentas con métodos de pago guardados, que luego se venden en mercados clandestinos. 

Una cuenta comprometida puede tener un alto valor por su potencial de uso futuro, especialmente si permite escalar el ataque a otros servicios vinculados.

El correo electrónico como identidad digital

El correo electrónico se ha convertido en uno de los activos más codiciados. Cuando un atacante logra acceder a una cuenta de correo, obtiene la llave para restablecer contraseñas, suplantar identidades y acceder a múltiples plataformas asociadas. 

En la práctica, esto equivale a un robo de identidad digital completo, con consecuencias que van mucho más allá de una pérdida económica puntual.

Este tipo de fraude suele comenzar con un simple clic en un enlace aparentemente legítimo o con la descarga de un archivo que simula ser un documento habitual. 

La familiaridad con estos procesos hace que muchas víctimas no perciban el riesgo hasta que el daño ya está hecho.

Códigos QR y enlaces que burlan la protección

Uno de los métodos que más ha crecido en el entorno corporativo es el uso de códigos QR maliciosos. 

Estos aparecen en correos electrónicos que simulan comunicaciones internas, facturas o documentos compartidos en la nube. Al escanear el código desde el móvil, el empleado sale del perímetro de seguridad habitual de la empresa y accede a páginas falsas que imitan servicios corporativos.

En ese entorno, introducir credenciales parece un paso natural. Sin embargo, esos datos acaban en manos de los atacantes, que pueden acceder a correos, herramientas de trabajo o redes privadas. 

El fraude se inicia con un gesto cotidiano y termina con una brecha de gran impacto.

Videollamadas falsas y suplantación con inteligencia artificial

La inteligencia artificial ha añadido una capa especialmente preocupante al fraude financiero. Ya no se trata solo de textos o correos convincentes, sino de audios y vídeos que imitan con gran precisión la voz y la imagen de directivos o responsables financieros. 

En algunos casos, incluso se han utilizado videollamadas falsas para ordenar transferencias urgentes.

Este tipo de engaños ha provocado fraudes de decenas de millones de euros a nivel internacional. La presión del momento, la apariencia de normalidad y la autoridad del supuesto interlocutor reducen la capacidad de reacción del empleado, que actúa convencido de estar cumpliendo una orden legítima.

Ataques hiperpersonalizados a gran escala

La automatización es otro de los factores clave. Gracias a la inteligencia artificial, los delincuentes pueden analizar perfiles públicos, identificar roles, responsabilidades e intereses y generar mensajes diseñados específicamente para cada persona. Todo este proceso se realiza de forma automática y a gran escala, algo impensable hace solo unos años.

Antes, personalizar un ataque requería tiempo y recursos. Ahora, la tecnología permite hacerlo con rapidez y con un nivel de credibilidad muy alto, ampliando de forma significativa el número de víctimas potenciales y reduciendo el margen de error.

Ante este escenario, los expertos insisten en reforzar la seguridad con autenticación multifactor, protección de dispositivos móviles y formación continua. 

También resulta clave adoptar soluciones capaces de analizar el comportamiento y la intención de los mensajes, no solo su apariencia. 

El verdadero reto ya no es saber si un contenido es real, sino detectar si alguien intenta manipularnos.