27 de octubre de 2025

Cada seis minutos, un australiano denuncia un delito cibernético. Solo en 2024, las pérdidas por estafas denunciadas ascendieron a la asombrosa cifra de 2.740 millones de dólares australianos. De esta cantidad, las estafas de suplantación de identidad en el correo electrónico empresarial (BEC), también conocidas como estafas de ingeniería social, representaron 91,6 millones de dólares australianos. Estas cifras ponen de manifiesto tanto la creciente magnitud y sofisticación de la ciberdelincuencia como los retos cada vez mayores que plantea tanto para las aseguradoras como para las empresas y los particulares.

Desde sudaderas con capucha hasta estructuras corporativas

Cuando nos imaginamos a un ciberdelincuente, la imagen suele proceder de las películas: una figura solitaria con una sudadera con capucha, trabajando en la oscuridad frente a una pantalla iluminada. Aunque estos delincuentes siguen existiendo, el ciberdelincuente moderno tiene un aspecto muy diferente.

Hoy en día, muchos operan dentro de organizaciones estructuradas que se asemejan a empresas legítimas. A los delincuentes se les contrata, se les pagan salarios e incluso reciben bonificaciones y vacaciones. Los procesos de selección tienen lugar en la dark web, donde los ciberdelincuentes deben presentar referencias y superar pruebas de aptitud, al igual que en el mundo empresarial. 

Los grupos patrocinados por el Estado, sobre todo en Corea del Norte y Rusia, llevan esto a otro nivel, invirtiendo grandes cantidades de dinero en tecnología e investigación para perfeccionar sus capacidades. Esta evolución les ha permitido poner en marcha estafas a gran escala cada vez más complejas y convincentes.

El auge de la ingeniería social sofisticada

Hace una década, los intentos de ingeniería social solían consistir en correos electrónicos torpes, plagados de errores ortográficos, con instrucciones imprecisas y direcciones de correo electrónico que no coincidían. Estas estafas eran relativamente fáciles de detectar.

Hoy en día, los ciberdelincuentes utilizan la minería de datos, la investigación de fuentes abiertas y la información empresarial sustraída para diseñar ataques mucho más convincentes. Al rastrear plataformas como LinkedIn, los delincuentes identifican a profesionales del sector financiero con autoridad para mover fondos y adaptan sus comunicaciones en consecuencia. Estos correos electrónicos imitan ahora la correspondencia legítima, adoptando el tono y el lenguaje adecuados, e incluso los apodos que se utilizan dentro de la empresa.

En algunos casos, los delincuentes pasan semanas dentro de una red comprometida, analizando los flujos de trabajo, las relaciones con los proveedores y las facturas pendientes para diseñar estafas muy específicas. El resultado: menos señales de alerta y mayores posibilidades de éxito.

El papel de la inteligencia artificial y los deepfakes

La inteligencia artificial ha acelerado drásticamente la evolución de la ingeniería social. La tecnología deepfake permite ahora a los delincuentes reproducir de forma convincente las voces e incluso los rostros de los ejecutivos.

En un caso muy sonado, un empleado de una multinacional con sede en Hong Kong autorizó un pago de 200 millones de dólares hongkoneses (unos 39,5 millones de dólares australianos) tras participar en una videollamada por Zoom con lo que parecían ser altos directivos. ¿El único problema? Los ejecutivos eran «deepfakes» generados por inteligencia artificial.

Los deepfakes ya no son las imitaciones torpes y robóticas de hace unos años. Hoy en día son muy realistas, lo que hace que resulte difícil —incluso para profesionales con experiencia— distinguirlas de la realidad. Al combinarlos con grabaciones de voz robadas y fragmentos de vídeo que pueden obtenerse de Internet, los delincuentes pueden crear ahora suplantaciones de identidad muy convincentes.

Desde el punto de vista de las reclamaciones, esto plantea importantes retos. Las estafas por voz y vídeo dejan pocos rastros documentales, lo que dificulta la verificación. Además, es posible que las víctimas no se den cuenta de que han sido engañadas hasta mucho más tarde, lo que reduce las posibilidades de recuperar con éxito los fondos a través de los bancos.

Amenazas emergentes: agentes de IA

Se prevé que la próxima frontera de la ciberdelincuencia sean los agentes de IA, es decir, sistemas autónomos capaces de razonar, aprender y tomar decisiones sin intervención humana. A diferencia de los asistentes de IA actuales, que requieren indicaciones, los agentes de IA pueden actuar de forma independiente.

En el ámbito de la ciberdelincuencia, esto significa que un agente de IA podría:

  • Busca objetivos en Internet
  • Crear bases de datos CRM de profesionales del sector financiero
  • Redactar una carta convincente
  • Envía miles de correos electrónicos fraudulentos a gran escala

Y todo ello sin intervención humana. El coste es mínimo, el alcance es enorme y, aunque solo tenga éxito un intento, los beneficios pueden ser considerables.

Respuestas legislativas y bancarias

Los gobiernos y las instituciones financieras están tomando medidas. En febrero de 2025 se aprobó en Australia el proyecto de ley sobre el Marco de Prevención del Fraude, que obliga a los bancos a aplicar controles más estrictos para detectar, prevenir y frustrar los fraudes.

Entre las medidas adoptadas destaca la creación, por parte de la Asociación Bancaria Australiana, del «Scam-Safe Accord», que incluye una inversión de 100 millones de dólares en tecnología de verificación de nombres, la cual comprueba si el nombre de la cuenta coincide con el código BSB y el número de cuenta introducidos. Otras iniciativas incluyen el aumento de las advertencias, la retención de los pagos a cuentas bancarias nuevas y preguntas de seguridad adicionales.

Prevemos que, para las pymes, estos controles puedan plantear dificultades operativas que conviene tener en cuenta y, en la medida de lo posible, planificar con antelación. Cualquier retraso en los pagos, por ejemplo, puede afectar al flujo de caja de los proveedores.  

Repercusiones en las reclamaciones de seguros

Desde el punto de vista de los seguros, la redacción de las pólizas también ha evolucionado. Actualmente, muchas pólizas incluyen exclusiones o franquicias más elevadas si no se han establecido determinados controles de verificación o no se respetan. Por ejemplo, las aseguradoras pueden exigir:

  • Verificación telefónica de cualquier cambio en los datos bancarios del proveedor
  • Separación de funciones en la tramitación de facturas
  • Procedimientos documentados para la autorización de pagos

Los tribunales se han hecho eco de esta postura. En 2025, un tribunal de Australia Occidental declaró a una empresa responsable del pago de una factura fraudulenta después de que se consideraran insuficientes sus métodos de verificación. La expectativa es clara: las empresas deben adoptar medidas razonables para protegerse.

Qué pueden hacer las organizaciones

A pesar de la sofisticación de los ataques, las empresas pueden reducir considerablemente el riesgo si cuentan con los procesos adecuados:

  • Protocolos de verificación: Confirma siempre los cambios en los datos bancarios por teléfono, utilizando números de teléfono de fuentes independientes.
  • Empoderamiento del personal: Anima a los empleados a cuestionar las peticiones inusuales, incluso si provienen de «altos directivos».
  • Formación: Mantener al personal al día sobre las amenazas emergentes y las señales de alerta.
  • Medidas de control informático: Implemente la autenticación multifactorial, restrinja los privilegios de administrador y exija cambios periódicos de contraseña.

En definitiva, la vigilancia a nivel individual y organizativo sigue siendo la mejor defensa.

Cómo puede ayudarte Sedgwick

El auge de los delitos cibernéticos sofisticados pone de manifiesto la creciente complejidad de la gestión de las reclamaciones. Cada caso requiere un análisis minucioso, no solo de las pérdidas económicas, sino también del cumplimiento de los términos de la póliza, los procesos de verificación y las perspectivas de recuperación.

En Sedgwick, nuestro equipo de contabilidad forense cuenta con la experiencia necesaria para hacer frente a estos retos. Como uno de los grupos de contables forenses más grandes de Australia, ayudamos a aseguradoras, empresas y clientes del ámbito jurídico a cuantificar y resolver de forma precisa y exhaustiva las reclamaciones relacionadas con la ciberdelincuencia y la ingeniería social. Más allá de la ciberdelincuencia, nuestros especialistas trabajan en una amplia gama de reclamaciones especializadas, garantizando claridad, precisión y resultados fiables en situaciones complejas.

Si desea obtener más información sobre cómo Sedgwick puede ayudarle con reclamaciones relacionadas con la ciberseguridad, la ingeniería social o otros riesgos especializados, póngase en contacto con Beth Fieldhouse ([email protected]), Lucy Tang ([email protected]) o Emma Levett ([email protected]).

Etiquetas: Inteligencia artificial delitos cibernético ataque cibernético ciberdelincuencia Riesgo cibernético estafas Tecnología

Más artículos como este

Ley de Seguridad de los Edificios de 2022: Repercusiones para las aseguradoras, los gestores de riesgos y los peritos de siniestros Perspectivas

Ley de Seguridad de los Edificios de 2022: Repercusiones para las aseguradoras, los gestores de riesgos y los peritos de siniestros

Bajas intermitentes y detección de fraudes Perspectivas

Bajas intermitentes y detección de fraudes

Situaciones reales relacionadas con la FMLA Perspectivas

Situaciones reales relacionadas con la FMLA

Idiomas