La evolución de los ciberdelincuentes y los reclamos de ingeniería social

Cada seis minutos, un australiano denuncia un delito cibernético. Solo en 2024, las pérdidas por estafas denunciadas ascendieron a la asombrosa cifra de 2740 millones de dólares australianos. De estas, las estafas de ingeniería social, también conocidas como Business Email Compromise (BEC), representaron 91,6 millones de dólares australianos. Estas cifras ponen de relieve tanto la creciente magnitud y sofisticación de los delitos cibernéticos como los retos cada vez mayores que plantean para las aseguradoras, las empresas y los particulares.

Desde sudaderas con capucha hasta estructuras corporativas

Cuando imaginamos a un ciberdelincuente, la imagen que nos viene a la mente suele ser la de las películas: una figura solitaria con una sudadera con capucha, trabajando en la oscuridad frente a una pantalla brillante. Aunque estos delincuentes siguen existiendo, el ciberdelincuente moderno tiene un aspecto muy diferente.

Hoy en día, muchos operan dentro de organizaciones estructuradas que imitan a empresas legítimas. Se contrata a delincuentes, se les paga un salario e incluso reciben bonificaciones y vacaciones. Los procesos de contratación se llevan a cabo en la web oscura, donde los ciberdelincuentes deben presentar referencias y superar pruebas de aptitud, al igual que en el mundo empresarial. 

Los grupos patrocinados por el Estado, sobre todo en Corea del Norte y Rusia, llevan esto a otro nivel, invirtiendo fuertemente en tecnología e investigación para perfeccionar sus capacidades. Esta evolución les ha permitido lanzar estafas cada vez más complejas y convincentes a gran escala.

El auge de la ingeniería social sofisticada

Hace una década, las estafas de ingeniería social solían consistir en correos electrónicos torpes, plagados de errores ortográficos, instrucciones vagas y direcciones de correo electrónico que no coincidían. Estas estafas eran relativamente fáciles de detectar.

Hoy en día, los ciberdelincuentes utilizan la minería de datos, la investigación de código abierto y la información empresarial robada para diseñar ataques mucho más convincentes. Al rastrear plataformas como LinkedIn, los delincuentes identifican a los profesionales financieros con autoridad para mover dinero y adaptan sus comunicaciones en consecuencia. Estos correos electrónicos ahora reflejan la correspondencia legítima, adoptando el tono, el lenguaje e incluso los apodos utilizados dentro de la empresa.

En algunos casos, los delincuentes pasan semanas dentro de una red comprometida, estudiando los flujos de trabajo, las relaciones con los proveedores y las facturas pendientes para diseñar estafas muy específicas. El resultado: menos señales de alerta y mayores posibilidades de éxito.

El papel de la IA y los deepfakes

La inteligencia artificial ha acelerado drásticamente la evolución de la ingeniería social. La tecnología deepfake permite ahora a los delincuentes replicar de forma convincente las voces e incluso los rostros de los ejecutivos.

En un caso muy sonado, un empleado de una multinacional en Hong Kong autorizó un pago de 200 millones de dólares hongkoneses (unos 39,5 millones de dólares australianos) tras asistir a una videoconferencia por Zoom con lo que parecían ser altos directivos. ¿El único problema? Los ejecutivos eran deepfakes generados por IA.

Los deepfakes ya no son los falsos y torpes montajes de hace unos años. Hoy en día son muy realistas, lo que hace difícil, incluso para profesionales cualificados, distinguirlos de los originales. Combinándolos con grabaciones de voz y videoclips robados que pueden recopilarse de Internet, los delincuentes ahora pueden crear suplantaciones muy convincentes.

Desde el punto de vista de las reclamaciones, esto plantea retos importantes. Las estafas por voz y vídeo dejan pocos rastros documentales, lo que dificulta su verificación. Además, es posible que las víctimas no se den cuenta de que han sido engañadas hasta mucho más tarde, lo que reduce las posibilidades de recuperar con éxito los fondos a través de los bancos.

Amenazas emergentes: agentes de IA

Se prevé que la próxima frontera del cibercrimen serán los agentes de IA, sistemas autónomos capaces de razonar, aprender y tomar decisiones sin intervención humana. A diferencia de los asistentes de IA actuales, que requieren indicaciones, los agentes de IA pueden actuar de forma independiente.

En un contexto de ciberdelincuencia, esto significa que un agente de IA podría:

• Buscar objetivos en Internet
• Crear bases de datos CRM de profesionales financieros.
• Redactar correspondencia convincente
• Enviar miles de correos electrónicos fraudulentos a gran escala.

Y todo ello sin supervisión humana. El coste es mínimo, el alcance es enorme e, incluso si solo uno de los intentos tiene éxito, los beneficios pueden ser significativos.

Respuestas legislativas y bancarias

Los gobiernos y las instituciones financieras están respondiendo. En febrero de 2025, se aprobó en Australia el proyecto de ley sobre el marco de prevención del fraude, que exige a los bancos aplicar controles más estrictos para detectar, prevenir y combatir el fraude.

Entre las novedades cabe destacar la creación por parte de la Asociación Bancaria Australiana del Acuerdo Scam-Safe, que incluye una inversión de 100 millones de dólares en tecnología de verificación de nombres, que comprueba si el nombre de la cuenta coincide con el BSB y el número de cuenta introducidos. Otras iniciativas incluyen el aumento de las advertencias, la retención de los pagos a nuevas cuentas bancarias y preguntas de seguridad adicionales.

Prevemos que, para las pymes, estos controles pueden plantear retos operativos que deben tenerse en cuenta y, en la medida de lo posible, planificarse con antelación. Cualquier retraso en los pagos, por ejemplo, puede alterar el flujo de caja de los proveedores.  

Implicaciones para las reclamaciones de seguros

Desde el punto de vista de los seguros, la redacción de las pólizas también ha evolucionado. Muchas pólizas incluyen ahora exclusiones o franquicias más elevadas si no se aplican o no se siguen determinados controles de verificación. Por ejemplo, las aseguradoras pueden exigir:

• Verificación telefónica de cualquier cambio en los datos bancarios del proveedor.
• Separación de funciones en el procesamiento de facturas
• Procedimientos documentados para la aprobación de pagos.

Los tribunales se han hecho eco de esta postura. En 2025, un tribunal de Australia Occidental consideró a una empresa responsable del pago de una factura fraudulenta después de que sus métodos de verificación se consideraran insuficientes. La expectativa es clara: las empresas deben tomar medidas razonables para protegerse.

Qué pueden hacer las organizaciones

A pesar de la sofisticación de los ataques, las empresas pueden reducir significativamente el riesgo si implementan los procesos adecuados:

• Protocolos de verificación: confirme siempre los cambios en los datos bancarios por teléfono, utilizando números de teléfono de fuentes independientes.
• Empoderamiento del personal: Anime a los empleados a cuestionar las solicitudes inusuales, incluso las procedentes de «altos ejecutivos».
• Formación: Informar periódicamente al personal sobre las amenazas emergentes y las señales de alerta.
• Controles informáticos: Implemente la autenticación multifactorial, restrinja los privilegios de administrador y exija cambios periódicos de contraseña.

En última instancia, la vigilancia a nivel individual y organizativo sigue siendo la defensa más sólida.

Cómo puede ayudar Sedgwick

El aumento de los delitos cibernéticos sofisticados pone de relieve la creciente complejidad de la gestión de las reclamaciones. Cada caso requiere un análisis minucioso, no solo de las pérdidas financieras, sino también del cumplimiento de los términos de la póliza, los procesos de verificación y las perspectivas de recuperación.

En Sedgwick, nuestro equipo de contabilidad forense cuenta con la experiencia necesaria para afrontar estos retos. Como uno de los grupos de contables forenses más grandes de Australia, ayudamos a aseguradoras, empresas y clientes del ámbito jurídico con una cuantificación y resolución precisas y exhaustivas de reclamaciones relacionadas con la ciberdelincuencia y la ingeniería social. Más allá de la ciberdelincuencia, nuestros especialistas trabajan en una amplia gama de reclamaciones especializadas, garantizando claridad, precisión y resultados fiables en situaciones complejas.

Si desea obtener más información sobre cómo Sedgwick puede ayudarle con reclamaciones relacionadas con la ciberseguridad, la ingeniería social o especializadas, póngase en contacto con Beth Fieldhouse ([email protected]), Lucy Tang ([email protected]) o Emma Levett ([email protected]).