EscucharLas técnicas de suplantación de identidad corporativa evolucionan con la inteligencia artificial y ponen en jaque a empleados y empresas costarricenses. “Estoy en una reunión urgente. Necesito que hagás una transferencia ahora mismo a este proveedor. Es absolutamente confidencial.” Una frase así, aparentemente ordinaria, puede costarle a una empresa cientos de miles de dólares, y a un empleado, su puesto de trabajo.
Este es el corazón del business email compromise (BEC) y su variante de audio, el vishing, una fusión de voice y phishing, una modalidad de fraude que combina ingeniería social con inteligencia artificial generativa para clonar voces y suplantar la identidad de directivos de alto nivel que ya está sucediendo en Costa Rica.
La IA pone el fraude al alcance de cualquiera. Lo que antes requería recursos técnicos avanzados, hoy está disponible con menos de 30 segundos de audio de referencia. Herramientas de clonación de voz accesibles en internet permiten reproducir la entonación, el acento y los patrones de habla de cualquier persona con una precisión perturbadora. A esto se suman los deepfakes de video, que ya circulan en canales de WhatsApp corporativos haciéndose pasar por gerentes generales. Según datos del FBI citados por fuentes europeas, en 2024 este tipo de fraudes generó pérdidas cercanas a $2.770 millones solo en Estados Unidos. En América Latina, el fenómeno crece a un ritmo acelerado, y Costa Rica, no es la excepción.
El protocolo que salva o hunde a su empresa. Desde el punto de vista tecnológico, el problema tiene una doble dimensión: la del vector de ataque y la del protocolo de respuesta. En cuanto al primero, Los atacantes realizan primero una fase de reconocimiento (OSINT) profunda donde analizan LinkedIn, redes sociales corporativas, notas de prensa y hasta videos de YouTube para construir un perfil vocal y conductual de la víctima suplantada. Con esa información, generan el anzuelo perfecto.
En cuanto al protocolo, las empresas que sobreviven estos ataques tienen algo en común: implementan con sistemas de verificación secundaria para transacciones que superan ciertos montos. Una simple regla como que ninguna transferencia se autoriza solo por llamada telefónica, siempre se confirma por un canal alternativo y con un segundo autorizante puede neutralizar el 90% de estos intentos.
El empleado: ¿víctima o responsable? Aquí surge un debate legal y organizacional relevante. Cuando un colaborador ejecuta una transferencia fraudulenta creyendo que sigue órdenes legítimas de su superior, ¿puede ser despedido con justa causa? La respuesta no es automática. Los tribunales laborales en distintos países han empezado a evaluar factores como: el nivel de sofisticación del engaño, si la empresa contaba con protocolos claros de autorización, si el empleado recibió capacitación en ciberseguridad y si existían barreras de control que fueron ignoradas o que simplemente no existían.
En Costa Rica, donde la jurisprudencia sobre fraude digital corporativo todavía está en construcción, las empresas deben anticiparse porque el marco legal seguirá a la tecnología, no al revés.
Qué deben hacer las empresas ahora. Desde una perspectiva técnica y de gestión de riesgos, estas son las medidas prioritarias: (i) implementar autenticación multifactor (MFA) en todos los sistemas financieros internos; (ii) establecer protocolos de doble verificación para pagos y transferencias, independientemente de quién los solicite; (iii) capacitar a los equipos especialmente a los de finanzas y tesorería en identificación de deepfakes y vishing. Ya existen herramientas de detección de audio sintético; (iv) activar alertas automáticas para transacciones fuera del patrón habitual, ya sea por monto, horario o destino; (v) simular ataques internos (red teaming social) para medir la vulnerabilidad real del equipo humano.
El eslabón más débil sigue siendo humano. La paradoja de la ciberseguridad moderna es que mientras las defensas tecnológicas se fortalecen, los atacantes se centran cada vez más al factor humano. Un firewall de última generación no detecta a un empleado que, convencido de hablar con su CEO incuestionable, ejecuta una orden fraudulenta de buena fe. La solución no es desconfiar de todos ni paralizar la operación. Es construir una cultura de verificación donde cuestionar una instrucción financiera inusual no sea visto como falta de obediencia, sino como buena práctica profesional.
También, en el mundo del fraude digital, un poco de “malicia indígena” puede ser la diferencia entre una empresa segura y convertirse en un titular de prensa.
---
El autor es abogado especialista en Tecnología, Medios y Telecomunicaciones.
