La IA tiene muchas ventajas, pero también, durante los últimos años, se ha apreciado un incremento notorio de su uso por parte de los ciberdelincuentes para acometer estafas telefónicas. Suplantaciones de identidad por llamada o mensajes de texto que tienen como finalidad sustraer el capital de la víctima. Es por ello que el Ministerio para la Transformación Digital y de la Función Pública del Gobierno de España ha hecho oficial una consulta pública para combatir esta lacra.
La consulta pública hace alusión precisamente a esas llamadas o mensajes de texto en los que se suplanta la identidad de una organización de confianza (entidad bancaria, empresa de transporte, tecnológica y servicios/suministros o administración pública). En la gran mayoría se informa al usuario sobre un cambio en las condiciones de contratación, para posteriormente realizarle una segunda llamada, en nombre de otra empresa, y ofrecerle unas mejores condiciones.
La IA está provocando que las estafas telefónicas sean cada vez más sofisticadas. De ahí que la consulta pública, abierta hasta el próximo 8 de marzo, determine gracias a las aportaciones ciudadanas qué paquete de mecanismos técnicos y operativos regulatorios, dentro de la propia Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, es el más adecuado para prevenir y luchar contra las prácticas fraudulentas canalizadas mediante llamadas y mensajes de textos. Se pone en valor así lo dispuesto en el artículo 133.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
La IA permite generar una conversación muy fluida y real. Es cierto que es necesario que los Cuerpos y Fuerzas de Seguridad precisen de una mejor dotación para enfrentarse a estos ciberdelitos, los cuales seguirán evolucionando en base a la IA.
De ahí que el Gobierno proponga elaborar una lista exhaustiva de nombres y abreviaturas alfanuméricas a utilizar para identificar a las entidades emisoras de los mensajes, que se sumarían a las medidas de detección a través de equipamiento y/ software en la operativa de red.
La última medida más agresiva que plantea el Gobierno es el bloqueo de acceso a webs en el caso de que un SMS fraudulento nos invitase a pulsar un enlace, creando una lista negra de URLs que adviertan a los usuarios de que dichos sitios no son seguros.
¿Cómo identificar las llamadas falsas creadas con IA?
Para resolver este problema ya hay propuestas sobre la mesa que solicitan a tecnológicas como Google o Microsoft que desarrollen algoritmos de detección de deepfakes para proteger sus propios productos y servicios. No obstante, es una obligación personal, siendo cada uno el responsable de desconfiar de estas prácticas fraudulentas. Para ello, lo mejor será detectar: si se realiza la llamada desde un número extraño, si la voz de esa persona es un tanto robótica, si no usa demasiadas pausas al hablar o si el interlocutor tiene demasiada prisa en que hagas un movimiento de cuenta o le des demasiados datos personales.
De igual modo, se recomienda comunicarse previamente con la persona antes de continuar con la conversación, preguntar algún hecho en común y tener una palabra clave, es decir, una especie de contraseña que nos permita identificar que se trata de esa persona.
El sentido común es la mejor herramienta para combatir estas prácticas abusivas, aunque también será efectivo contar con suficiente formación en ciberseguridad que permitiese identificar posibles ataques y saber reaccionar frente a ellos.
No obstante, hay que tener en cuenta que las empresas legítimas nunca solicitarán datos confidenciales por teléfono o Internet, por lo que es importante pensar antes de actuar. Además, es importante mantener los dispositivos y software actualizados, dificultando la vulnerabilidad por parte de los ciberdelincuentes y mejorando la seguridad.
Estafas telefónicas: las herramientas necesarias existen
Actualmente existen mecanismos técnicos para detectar cuando una comunicación tiene un uso fraudulento, bloqueando aquellas que tengan el mismo contenido. Cuando se trata de SMS, se aplica el conocido ‘smishing’, que mediante IA se genera un ‘hash’ 6 que permite identificar el envío de SMS masivos fraudulentos para, con un tratamiento posterior, determinar si tienen efecto y bloquear todos los SMS con el mismo ‘hash’ destinados a sus usuarios.
Esta técnica, eficientemente aplicada, permitiría una actuación reactiva (una vez que hubiera denuncias) y una actuación proactiva y preventiva (aplicando algoritmos evolutivos de IA).
De hecho, ya existen legisladores de otros Estados Miembros de la UE como Bélgica, que han adoptado este tipo de coberturas al acceso al contenido de los SM. Es el caso de la Ley General de Telecomunicaciones en su artículo 125.1.7º8, introducido en diciembre de 2021.
De igual modo, en Polonia, en agosto del 2023 se aprobó la Ley sobre la lucha contra el abuso en las comunicaciones electrónicas, la cual autoriza a los operadores a analizar el contenido de los SMS y compararlos con los patrones de mensajes fraudulentos publicados por el CSIRT NASK14 y consecuentemente bloquearlos. También se pueden bloquear mensajes SMS de plantillas desarrolladas por CSIRT NASK, empleando un sistema de identificación automática.
Hay muchas prácticas para acabar con el CLI (Calling Line Identification), es decir, una práctica que manipula el número que nos llama para que coincida con el de la persona o entidad a la que suplanta. De ahí la necesidad de que Gobierno y operadores trabajen conjuntamente para identificarlos e implantar medidas en el ámbito de la numeración y códigos alfanuméricos en SMS para frenarlo. Fuera como fuese, todo parte del sentido común y del compromiso de los ciudadanos para desconfiar y frenar este tipo de ciberataques creados con IA.
