En la primera parte de esta serie, desglosamos el ecosistema que sustenta el fraude digital. Ahora, en esta segunda entrega, profundizamos en la maquinaria operativa. El fraude digital no es un evento monolítico, sino un proceso multifásico y altamente especializado que los ciberdelincuentes han perfeccionado hasta convertirlo en una operación industrial. Comprender esta anatomía, desde el vector de ataque inicial hasta la materialización final del fraude, es esencial para desarrollar estrategias de defensa eficaces. Este proceso puede ser modelado como una cadena de valor delictiva, donde cada eslabón está optimizado para la máxima eficiencia y el mayor retorno de la inversión.

Para ilustrar esta cadena en acción, sigamos el caso hipotético de Laura, directora financiera (CFO) de una empresa tecnológica en plena expansión.

Anatomía de la Cadena Delictiva

1. El primer eslabón es la “Reconocimiento y Selección del Objetivo”

A diferencia de los ataques indiscriminados del pasado, los ciberdelincuentes modernos utilizan la inteligencia de amenazas y la recopilación de datos abiertos (OSINT) para perfilar a sus víctimas. En el caso de Laura, los atacantes analizan su perfil de LinkedIn, identifican que su empresa acaba de cerrar una ronda de financiación y descubren que su CEO está de viaje en una conferencia internacional. Analizan redes sociales, listas de filtraciones de datos anteriores y comportamientos en línea para identificar a individuos con mayores probabilidades de caer en ciertos tipos de engaños. Esta fase permite personalizar el ataque, aumentando exponencialmente sus posibilidades de éxito.

2. El segundo eslabón es el “Vector de Ataque”

Es el mecanismo utilizado para hacer contacto con la víctima e iniciar la intrusión. Estos vectores son cada vez más diversos y sofisticados. Para Laura, el vector elegido es un correo electrónico de Compromiso de Correo Empresarial (BEC), imitando perfectamente la identidad y el tono de comunicación de su CEO. El Phishing y el Smishing (phishing por SMS) siguen siendo los caballos de batalla debido a su bajo costo y alta efectividad, pero ahora son altamente personalizados. El Malware, especialmente el diseñado para plataformas móviles, es otro vector crítico. Los troyanos bancarios como la familia Mamont se distribuyen a través de aplicaciones aparentemente inofensivas y, una vez instalados, roban credenciales e interceptan mensajes de autenticación. Una categoría de vector emergente son los Deepfakes y la Ingeniería Social, impulsada por IA, que permite crear audio y video hiperrealistas para destruir la confianza en la identificación tradicional.

3. El tercer eslabón “Intrusión y Explotación”

Trabaja sobre la obtención de un punto de apoyo dentro del dispositivo o la cuenta de la víctima. En el ataque de Laura, no se instala malware; el objetivo es que la propia víctima actúe voluntariamente bajo un pretexto creíble. Una técnica particularmente efectiva en esta fase es el Vishing (phishing por voz), que vió un aumento del 442% en la segunda mitad de 2023 según diversos informes sectoriales. Al igual que en el vishing, donde los atacantes utilizan deepfakes de audio para suplantar a empleados de un banco, en el caso de Laura, el correo del CEO crea una sensación de urgencia que la impulsa a actuar sin seguir los protocolos habituales de verificación.

4. El cuarto eslabón "Escalada de Privilegios y Movimiento Lateral"

Tras haber obtenido el acceso o, en este caso, la cooperación de la víctima, el atacante busca maximizar su alcance. En el escenario de Laura, el atacante no necesita moverse lateralmente por la red; está abusando directamente de los altos privilegios que ella ya posee como CFO para autorizar transferencias de gran volumen. Es crucial destacar que, según CrowdStrike, el 79% de las detecciones en 2024 no involucraron malware, lo que indica que los atacantes están utilizando cada vez más técnicas malware-free como el abuso de herramientas legítimas, credenciales robadas y la ingeniería social para lograr sus objetivos sin ser detectados por soluciones de seguridad tradicionales.

5. El quinto eslabón “Materialización del Fraude”

Es el momento en que el atacante ejecuta la acción que genera el beneficio económico. Laura, convencida por la urgencia y la aparente legitimidad del correo, autoriza una transferencia millonaria a la cuenta de un nuevo proveedor indicada por su CEO. El dinero se mueve instantáneamente a una cuenta controlada por los delincuentes, dando el golpe final a la operación.

Tipologías del Fraude

El caso de Laura es un ejemplo perfecto de una de las tipologías más extendidas. La tipología del fraude es diversa y se adapta constantemente a las nuevas tecnologías y oportunidades.

Toma de Control de Cuentas (Account Takeover - ATO)

Una de las más prevalentes y dañinas. Los delincuentes obtienen acceso no autorizado a las cuentas bancarias, de inversión o de billeteras digitales de las víctimas. Los métodos para lograr un ATO van desde el phishing y el malware hasta la compra de credenciales robadas en la dark web. Una vez dentro, los atacantes pueden vaciar los fondos, realizar transferencias no autorizadas o cambiar la contraseña para bloquear al legítimo propietario.

Compromiso de Correo Empresarial (Business Email Compromise - BEC)

También conocido como fraude del CEO. En estos ataques, los delincuentes suplantan la identidad de un ejecutivo de alto nivel o un proveedor de confianza para engañar a un empleado del departamento financiero y que realice una transferencia de dinero a una cuenta controlada por los atacantes. La sofisticación radica en la investigación previa para conocer los procesos internos y el momento oportuno para lanzar el ataque, a menudo cuando el ejecutivo suplantado está de viaje o inaccesible.

Fraude de Inversión

Especialmente el relacionado con criptoactivos, es otra área de rápido crecimiento. Los atacantes crean plataformas de inversión falsas o utilizan esquemas de pump and dump para inflar artificialmente el precio de una criptomoneda poco conocida y luego vender sus participaciones cuando las víctimas inocentes invierten su dinero. Estos esquemas a menudo prometen rendimientos garantizados y elevados, explotando la FOMO (miedo a perderse algo) y la falta de conocimiento financiero.

Ransomware y la Extorsión

Siguen siendo una amenaza significativa. Aunque a menudo se asocia con ataques a grandes corporaciones, los individuos también pueden ser víctimas. El ransomware cifra los archivos del usuario y exige un pago para desbloquearlos. La extorsión va más allá, amenazando con filtrar datos sensibles robados o, en el caso de los deepfakes, con difundir contenido comprometedor fabricado por IA a menos que se pague un rescate.

Esta industrialización del fraude, con su clara división del trabajo y su enfoque en la maximización de beneficios, lo convierte en un desafío persistente y en evolución para todo el ecosistema financiero y corporativo. Frente a una cadena de valor delictiva tan sofisticada, las defensas aisladas son insuficientes. Requiere un enfoque igualmente estructurado: una cadena de valor de la defensa que integre inteligencia de amenazas proactiva, tecnología adaptativa y fundamentalmente, la formación de una fuerza laboral humana capaz de reconocer y neutralizar el engaño en su origen. La batalla contra el fraude digital ya no se libra solo en el firewall, sino en la mente de cada potencial víctima.

El fraude digital no es un evento monolítico, sino un proceso multifásico y altamente especializado que los ciberdelincuentes han perfeccionado hasta convertirlo en una operación industrial. Comprender esta anatomía, desde el vector de ataque inicial hasta la materialización final del fraude, es esencial para desarrollar estrategias de defensa eficaces. Este proceso puede ser modelado como una cadena de valor delictiva, donde cada eslabón está optimizado para la máxima eficiencia y el mayor retorno de la inversión.

Anatomía

1. El primer eslabón es el Reconocimiento y Selección del Objetivo: A diferencia de los ataques indiscriminados del pasado, los ciberdelincuentes modernos utilizan la inteligencia de amenazas y la recopilación de datos abiertos (OSINT) para perfilar a sus víctimas. Analizan redes sociales, listas de filtraciones de datos anteriores y comportamientos en línea para identificar a individuos con mayores probabilidades de caer en ciertos tipos de engaños, como los inversionistas inexpertos en criptoactivos o los ejecutivos con acceso a cuentas corporativas. Esta fase permite personalizar el ataque, aumentando exponencialmente sus posibilidades de éxito.

2. El segundo eslabón es el Vector de Ataque, el mecanismo utilizado para hacer contacto con la víctima e iniciar la intrusión. Estos vectores son cada vez más diversos y sofisticados. El Phishing y el Smishing (phishing por SMS) siguen siendo los caballos de batalla debido a su bajo costo y alta efectividad. Sin embargo, han evolucionado más allá de los correos mal escritos. Ahora son altamente personalizados, imitando la identidad y el tono de comunicación de entidades legítimas, desde bancos hasta empresas de entrega. El Malware, especialmente el diseñado para plataformas móviles, es otro vector crítico. Los troyanos bancarios como la familia Mamont se distribuyen a través de aplicaciones aparentemente inofensivas en tiendas de aplicaciones oficiales y de terceros. Una vez instalados, roban credenciales, interceptan mensajes SMS de autenticación de dos factores (2FA) e incluso pueden superponer ventanas falsas sobre aplicaciones bancarias legítimas para capturar datos.

Una categoría de vector emergente son los Deepfakes y la Ingeniería Social, impulsada por IA. Estas tecnologías permiten a los atacantes crear audio y video hiperrealistas de personas conocidas por la víctima, como familiares, jefes o incluso agentes de soporte técnico. El nivel de realismo destruye la confianza que tradicionalmente se tenía en la identificación de una voz o un rostro conocidos, abriendo la puerta a formas de manipulación emocional sin precedentes.

3. El tercer eslabón Intrusión y Explotación trabaja sobre la obtención de un punto de apoyo dentro del dispositivo o la cuenta de la víctima. En el caso del malware, esto implica la instalación del software malicioso. En los ataques de ingeniería social, el objetivo es que la propia víctima entregue voluntariamente la información sensible, como contraseñas o códigos de verificación. Una técnica particularmente efectiva en esta fase es el Vishing (phishing por voz), que vio un aumento del 442% en la segunda mitad de 2024.

Los atacantes utilizan deepfakes de audio en tiempo real para llamar a las víctimas, suplantando a empleados del banco o del soporte técnico, y las persuaden para que realicen transferencias o revelen información de seguridad bajo un pretexto urgente, como la supuesta detección de una actividad fraudulenta en su cuenta.

4. El cuarto eslabón Escalada de Privilegios y Movimiento Lateral, donde tras haber obtenido el acceso, si el objetivo inicial era un usuario final, el atacante intentará utilizar sus credenciales para acceder a otras cuentas o servicios. Si el ataque fue a una empresa, el objetivo es moverse por la red interna para acceder a sistemas con información más valiosa o a los propios sistemas de transferencia de fondos. Es crucial destacar que, según CrowdStrike, el 79% de las detecciones en 2024 no involucraron malware, lo que indica que los atacantes están utilizando cada vez más técnicas malware-free como el abuso de herramientas legítimas, credenciales robadas y la ingeniería social para lograr sus objetivos sin ser detectados por soluciones de seguridad tradicionales basadas en firmas.

5. El quinto eslabón Materialización del Fraude, donde el atacante ejecuta la acción que genera el beneficio económico. Aquí es donde entran en juego diversas tipologías de fraude, cada una adaptada al contexto y al objetivo del ataque.

Tipologías

La tipología del fraude es diversa y se adapta constantemente a las nuevas tecnologías y oportunidades. Una de las más prevalentes y dañinas es la Toma de Control de Cuentas (Account Takeover - ATO). En este esquema, los delincuentes obtienen acceso no autorizado a las cuentas bancarias, de inversión o de billeteras digitales de las víctimas. Los métodos para lograr un ATO van desde el phishing y el malware hasta la compra de credenciales robadas en la dark web. Una vez dentro de la cuenta, los atacantes pueden vaciar los fondos, realizar transferencias no autorizadas o cambiar la contraseña para bloquear al legítimo propietario. Otra tipología muy extendida es la Compromiso de Correo Empresarial (Business Email Compromise - BEC), también conocido como fraude del CEO. En estos ataques, los delincuentes suplantan la identidad de un ejecutivo de alto nivel (como el CEO o el CFO) o un proveedor de confianza para engañar a un empleado del departamento financiero y que realice una transferencia de dinero a una cuenta controlada por los atacantes.

La sofisticación de estos ataques radica en la investigación previa que realizan los atacantes para conocer los procesos internos de la empresa y el momento oportuno para lanzar el ataque, a menudo cuando el ejecutivo suplantado está de viaje o inaccesible. El Fraude de Inversión, especialmente el relacionado con criptoactivos, es otra área de rápido crecimiento. Los atacantes crean plataformas de inversión falsas o utilizan esquemas de pump and dump para inflar artificialmente el precio de una criptomoneda poco conocida y luego vender sus participaciones cuando las víctimas inocentes invierten su dinero.

Estos esquemas a menudo prometen rendimientos garantizados y elevados, explotando la FOMO (miedo a perderse algo) y la falta de conocimiento financiero de las víctimas. Finalmente, los Ransomware y la Extorsión siguen siendo una amenaza significativa. Aunque a menudo se asocia con ataques a grandes corporaciones, los individuos también pueden ser víctimas. El ransomware cifra los archivos del usuario y exige un pago para desbloquearlos. La extorsión va más allá, amenazando con filtrar datos sensibles robados o, en el caso de los deepfakes, con difundir contenido compromising fabricado por IA a menos que se pague un rescate.Esta industrialización del fraude, con su clara división del trabajo y su enfoque en la maximización de beneficios, lo convierte en un desafío persistente y en evolución para todo el ecosistema financiero.