Cómo ocurre el fraude en línea: Cómo los estafadores pueden dañar su negocio

El fraude es obstinadamente prevalente y ocurre de muchas formas, tanto fuera de línea como en crímenes de internet. Los criminales a menudo roban y utilizan detalles de clientes honestos, como direcciones de correo electrónico, números de tarjetas de crédito y otra información personal identificable. Estos datos pueden ser utilizados para perpetrar un esquema de fraude, como el fraude con tarjeta para transferencias bancarias u otros tipos de robo en línea, como realizar compras no autorizadas por internet. En muchos casos, los delincuentes pueden acceder a vastas cantidades de información personal, lo que les permite cometer fraudes a gran escala.

De hecho, casi desde el nacimiento de internet, los criminales han estado utilizando la anonimidad del entorno en línea para cometer fraude. Los siguientes son solo algunos ejemplos significativos que dañaron gravemente a las empresas afectadas.

Facebook y Google caen en una estafa de factura falsa por US$100 millones

El compromiso del correo electrónico empresarial (BEC) es un problema para empresas de todos los tamaños, incluso las más grandes son vulnerables a convertirse en víctimas de una estafa bien elaborada, y los métodos no tienen que ser necesariamente tecnológicamente sofisticados.

Entre 2013 y 2015, Facebook y Google fueron engañados y perdieron más de US$120 millones por un hombre lituano que envió una serie de facturas falsas a los dos gigantes tecnológicos. Al darse cuenta de que ambas organizaciones utilizaban al proveedor de infraestructura taiwanés Quanta Computer, Evaldas Rimasauskas registró una empresa en Letonia con el mismo nombre.

Durante los siguientes dos años, envió una serie de correos electrónicos de phishing a empleados de Facebook y Google que contenían facturas falsificadas por millones de dólares, acompañadas de contratos y cartas que parecían haber sido firmadas por ejecutivos de alto nivel de la compañía. Luego transfirió los fondos pagados a cuentas bancarias a nombre de la empresa falsa a otras cuentas en Letonia, Chipre, Eslovaquia, Lituania, Hungría y Hong Kong.

La estafa fue finalmente descubierta, y tras acciones legales, Rimasauskas fue condenado a cinco años de prisión. Sin embargo, solo se recuperó alrededor de la mitad de los fondos robados.

El hackeo de Sony no es una imagen bonita

A menudo, el costo reputacional y operativo del fraude en línea para una empresa puede ser tan severo como cualquier pérdida financiera directa.

Cuando en 2014 Sony Pictures sufrió una gran violación de datos, el ataque se rastreó hasta una serie de correos electrónicos de phishing enviados a los altos ejecutivos de Sony meses antes. Estos parecían estar diseñados para parecer solicitudes relacionadas con IDs de Apple y dirigían a los ejecutivos a un sitio falso que capturaba sus credenciales de inicio de sesión. Esta información se utilizó luego para acceder a 100 terabytes de datos sensibles, incluidos detalles sobre empleados y sus familias, correspondencia privada e información sobre películas que aún no se habían estrenado. Al mismo tiempo, los atacantes borraron la infraestructura de TI de Sony Pictures y publicaron películas que aún no se habían lanzado en línea.

Los expertos estimaron que el costo total para la empresa fue de hasta US$100 millones. Esto incluyó el costo de la productividad perdida, investigaciones internas, reemplazo o reparación de computadoras, medidas requeridas para prevenir futuros ataques y la pérdida de secretos comerciales, así como el impacto en la reputación de la empresa matriz Sony, por un fracaso percibido en salvaguardar la información.

El vishing de deepfake captura una gran presa

Una de las tendencias más alarmantes recientes es el uso de IA por hackers, incluyendo el uso de tecnología de voz ‘deepfake’.

El primer caso significativo ocurrió en marzo de 2019, cuando un ejecutivo de una empresa energética con sede en el Reino Unido fue engañado para creer que estaba hablando por teléfono con el CEO de la empresa matriz. En respuesta a la solicitud urgente de su falso jefe, transfirió US$243,000 a una cuenta fraudulenta.

Eso puede parecer mucho dinero, pero queda en nada frente a la cifra robada en un ‘atraco virtual a un banco’ en Hong Kong a principios de 2020. En esa ocasión, un gerente de banco recibió una llamada del director de una empresa con la que había hablado antes – o eso pensaba. La voz le dijo que la empresa estaba a punto de hacer una adquisición – una afirmación respaldada por correos electrónicos en la bandeja de entrada del gerente tanto del propio director como de un abogado aparentemente contratado para supervisar la transacción. Como resultado, el gerente del banco autorizó transferencias por un monto de US$35,000,000. Desafortunadamente, la llamada era parte de un elaborado plan que involucraba al menos a 17 personas, dentro del cual se había utilizado tecnología de “voz profunda” para clonar el discurso del director.

Manteniéndose un paso adelante de los estafadores

Lo que todos estos ejemplos tienen en común es el uso del engaño y falsas identidades para engañar a las empresas y permitir a actores maliciosos acceder a información sensible, como el número de seguro social. Con cada vez más información sensible accesible a través de internet, asegurarse de que alguien es quien dice ser en línea es más crítico que nunca.

Nuestros propios datos muestran que casi 1 de cada 10 de las verificaciones de identidad que realizamos entre enero y octubre de 2022 identificaron actividad fraudulenta, de las cuales más de la mitad involucraron fraude de identidad. Confiar en enfoques heredados deja la puerta abierta a actores maliciosos: las contraseñas son demasiado vulnerables a violaciones de datos, mientras que la autenticación de dos factores es demasiado susceptible a la violación de dispositivos. Y con el uso de la tecnología deepfake en aumento, incluso la tecnología de verificación de identidad convencional no es completamente infalible.

Veriff lidera la lucha contra el fraude amistoso y el robo de identidad, el fraude con tarjetas de crédito, utilizando información de tarjetas de crédito robadas o información de seguro social robada, y otros tipos de fraude en línea. Abordamos el fraude desde múltiples ángulos para asegurarnos de que los estafadores sean atrapados tanto en el momento como en ataques recurrentes y anillos de fraude organizados. Además de examinar información de dispositivos, redes, rostros y documentos para sesiones individuales, utilizamos interconexiones para comparar esta información a través de miles de sesiones y detectar actores maliciosos a través de patrones de comportamiento, incluso cuando sus acciones son superficialmente legítimas. Eso significa que podemos detener las estafas en línea en seco.