Investigaciones encubiertas: cómo la IA está potenciando las estafas románticas

Como alguien que lleva más de 20 años en el sector, he visto mi buena cantidad de estafas en línea. Pero este es el tipo de historia que escuchas y no puedes creer del todo. En la última conferencia de ciberseguridad de RSA, un colega mío —alguien que vive y respira la seguridad digital, un CISO— admitió que había sido víctima de una estafa romántica en línea. Mi primer pensamiento fue, ¿cómo? ¿Cómo es posible que alguien tan familiarizado con los riesgos, que pasa su vida identificando señales de alerta e implementando controles técnicos, que conoce todos los trucos clásicos del oficio, al final caiga en la trampa?

Su respuesta fue una llamada de atención para todos nosotros. Había hecho todo según las reglas, o eso pensaba. Buscó las señales habituales, pero el estafador al otro lado de la pantalla tenía una herramienta nueva y poderosa en su arsenal: una videollamada deepfake convincente. Esa breve interacción “en vivo” fue suficiente para construir una base de confianza. Lo que siguió fue una dolorosa pérdida financiera.

Su historia me hizo hervir la sangre. Está claro que el viejo libro de reglas ya no es suficiente. El juego ha cambiado. Así como los actores de amenazas cibernéticas se están “equipando” con tecnologías de IA, sus “hermanos” estafadores también están mejorando su nivel con la IA. Para saber cuánto, decidí pasar a la clandestinidad, crear un perfil honeypot, ver qué es lo que realmente están haciendo los estafadores modernos y qué tácticas, técnicas y procedimientos, o "TTP", usan.

Preparación del cebo

Para comprender al enemigo, debe caminar en su mundo. Creé un perfil diseñado para ser un cebo irresistible: un surfista de 40 años, musculoso y bien educado que vive el sueño en Australia y busca una conexión significativa. Usando mis propias herramientas de inteligencia artificial, generé fotos de perfil y ajusté la biografía para atraer al mayor número posible de estafadores en los principales sitios de citas internacionales (excluidos los típicos sitios locales de "encuentros").

Los resultados fueron inmediatos y reveladores. Lo que encontré fue una mezcla de la misma vieja bolsa de trucos, ahora superalimentada con tecnología nueva y una cascada de "bazofia" de IA.

Las clásicas señales de alerta siguen ondeando

En primer lugar, dejemos algo muy claro: las tácticas de la vieja escuela no han desaparecido. Son la base de casi todas las estafas. En mi experimento, los frutos fáciles de alcanzar eran universales.

De las 12 interacciones directas con estafadores, cada una:

• Reflejaron la biografía de mi perfil: Adaptaron hábilmente sus conversaciones para que coincidieran con mis intereses y deseos inventados, creando una conexión "demasiado buena para ser verdad". Es el truco más viejo del libro: hacerte sentir como si hubieras encontrado a tu alma gemela.
• Intentaron mover el chat fuera de la aplicación de citas: Esto es una gran señal de alerta. Los 12 estafadores querían cambiar rápidamente a aplicaciones de mensajería menos seguras y más anónimas. Los más populares fueron WhatsApp (usado por 6 de los 12), seguido de Telegram, Signal, Discord, Zangi, Google Chat y el correo electrónico. Este movimiento está diseñado para aislarte de las funciones de seguridad e informes de la plataforma de citas y empujarte más hacia su mundo.
• Extraído sutilmente para obtener información personal: Las conversaciones fueron una clase magistral de ingeniería social. No solo me preguntaban por mi día; estaban buscando detalles sobre los miembros de mi familia, mi trabajo, mi ubicación y mi vida que pudieran usarse en mi contra; estaban creando un perfil que pudieran reutilizar si decidían robarme la identidad o coaccionarme para hacer pagos directos por alguna farsa.

Hasta este punto, cabe señalar que todos los comportamientos se pueden explicar como señales clásicas y comprensibles de alguien que simplemente y honestamente está tratando de encontrar su alma gemela. Pero se volvieron menos aceptables:

• Se ponían agresivos cuando se les desafiaba: cuando empecé a rechazar o cuestionar sus historias, su comportamiento cambiaba. Intentaban discutir, hacerme sentir culpable y manipular mis emociones para recuperar el control. 
• Rechazaron o excusaron la verificación directa: la clásica negativa a verificar su identidad fue un hilo común (excepto en dos casos que se analizan a continuación). La mayoría pondría un sinfín de excusas para evitar una videollamada o rechazar una solicitud simple y única, como enviar una selfie en el momento mientras se toca la nariz o adopta una pose única.

El nuevo arsenal: el engaño impulsado por IA

Aquí es donde las cosas se ponen espeluznantes. Los estafadores ahora están usando IA para hacer que sus engaños sean más creíbles y escalables. Esto no es ciencia ficción; está ocurriendo ahora mismo. Echemos un vistazo más de cerca:

• Conversaciones generadas por IA: En mi experimento, 11 de cada 12 estafadores usaron IA, como ChatGPT, para escribir sus mensajes y hacer posible que pudieran escalar a sus objetivos en masa. Las conversaciones parecían naturales, atractivas y emocionalmente inteligentes porque todas estaban en sintonía con un modelo de lenguaje sofisticado. Consejo profesional: Puede combatir el fuego con fuego. Si una conversación parece demasiado perfecta, copie y pegue el texto en una herramienta de detección de escritura con inteligencia artificial como phrasly.ai. Puede ayudarte a detectar si estás hablando con una persona, un bot o un LLM.
• Fotos generadas por IA para verificación: Cuando presioné a un estafador para que se hiciera una selfie única, no se limitó a negarse. Enviaron una foto que, a primera vista, parecía legítima. Pero tras una inspección más cercana, era claramente una imagen generada por IA, probablemente un compuesto de fotos robadas combinadas para cumplir con mi solicitud. Consejo profesional: Están utilizando activamente la IA para eludir las propias pruebas de "prueba de vida" en las que nos han enseñado a confiar, pero existen herramientas en línea que también puede usar para validar que las imágenes no han sido generadas por IA, como WasItAI o Decopy AI.
• Videollamadas deepfake: Este es el cambio de juego que engañó a mi colega: uno de los estafadores con los que interactué aceptó una videollamada. Durante unos 20 segundos, vi a una persona que coincidía perfectamente con las fotos de perfil. Su rostro estaba casi perfectamente falsificado. El vídeo estaba retrasado y rápidamente culparon a una "mala conexión" antes de colgar, pero esos pocos segundos fueron increíblemente convincentes y es comprensible que puedan contribuir en gran medida a generar confianza. Consejo profesional: La tecnología está aquí y se está usando para destruir nuestra última línea de defensa: la verificación visual. Pero es necesario refinarlo aún más. Hay algunas comprobaciones que hacer: fíjese en el movimiento de los ojos, los temblores de forma en la pantalla, los parpadeos poco naturales, los parpadeos alrededor de los ojos y las luces o sombras extrañas. 

La inevitable petición: Tu dinero, no tu corazón.

No importa el método, el final del juego es siempre el mismo. Cada estafador acababa hilando una triste historia diseñada para tirar de la fibra sensible y abrir la cartera. Las solicitudes variaron, pero los temas fueron consistentes:

• Una oportunidad de inversión en criptomonedas "imperdible": una invitación a aprovechar OnaChain y compartir su grupo de minería para un DefiFund.
• Ayúdelos a pagar el alquiler para evitar el desalojo.
• Se necesitan fondos urgentes para un familiar enfermo o moribundo en el hospital.
• Una solicitud para comprar tarjetas de regalo de Apple.
• Uso de pagos únicos de criptomonedas (Conbase) comunes para estafas de BookingID.

Cómo protegerse a sí mismo o a los demás en la era de la IA

El auge de las citas en línea, combinado con la IA accesible, está creando una tormenta perfecta. Está tomando a todos por sorpresa, desde el público en general hasta los profesionales expertos en tecnología. Necesitamos un nuevo nivel de educación fuera de los clásicos.

1. No confíe hasta que lo haya verificado por completo: No tome nada al pie de la letra. Una videollamada corta y lenta ya no es prueba de nada. Insista en una llamada más larga y clara. Pídales que hagan algo impredecible ante la cámara, como escribir su nombre en una hoja de papel, tocarse la cara para penetrar la máscara de la IA falsa, sin dejar de ser conscientes de que incluso estos métodos de verificación siguen teniendo defectos. En última instancia, las herramientas de IA harán que cualquier prueba digital sea más fácil de aprobar rápidamente (a menos que vaya a comenzar a usar servicios MFA patrocinados por el gobierno en su vida amorosa), por lo que es probable que verificar la identidad en una situación fuera de línea del mundo real sea cada vez más importante.
2. Usar detectores de IA: si la conversación es perfecta y "demasiado directa", analice sus mensajes con una herramienta de detección de textos de IA. Es una simple comprobación que puede revelar la verdad, o un bot del otro lado en uso. 
3. Haga preguntas hiperespecíficas: las respuestas generadas por la IA de estafadores extranjeros a menudo tropiezan con conocimientos locales especializados. El estafador que afirmó amar el snowboard en Canadá pero nombró a Miami, Florida, como su resort favorito es un ejemplo perfecto. Pregúnteles sobre una cafetería local, una calle específica o un evento regional.
4. Esté atento a los clásicos: Las viejas banderas rojas siguen siendo su primera línea de defensa. Nunca mueva la conversación fuera de la plataforma de inmediato, nunca comparta información personal detallada y nunca, nunca envíe dinero a alguien que no ha conocido y con quien no tiene una relación en el mundo real.
5. Pídales que se reúnan en persona: dígales que está en la ciudad (en su ubicación) y pídales que se reúnan en persona. Esto generalmente les obliga a actuar y los coloca en una posición de incomodidad y réplica rápida (véase arriba).
6. Use su propia IA para realizar una "investigación en profundidad": llevar a cabo su propia IA OSINT sobre la información que tiene de la persona (ya sean migas de pan o nombres y lugares que haya recogido en Internet) ayuda a separar a los usuarios legítimos de la paja. La función de "investigación profunda" de Gemini era bastante buena para jugar al detective de una persona, hurgar en varios sitios, registros públicos y varias publicaciones de la comunidad, a través de una serie de instrucciones bien elaboradas. 
7. Use empresas independientes de catfish social cuando aún no esté 100 % seguro: si todo lo demás falla, hay un montón de empresas independientes por ahí que realizan verificaciones por terceros (previo pago) contra bases de datos conocidas de catfish de perfiles y otras medidas. ¿Qué precio tiene el amor verdadero?

La inteligencia artificial ha complicado el mundo de las estafas románticas, pero no las ha vuelto invencibles. Manteniéndonos informados y vigilantes, aprendiendo las nuevas TTP y utilizando la IA para contrarrestar las estafas impulsadas por la IA, podemos aprender a detectar el "fantasma en la máquina" y proteger nuestros corazones y nuestras carteras. 

Al compartir la experiencia de mi colega y las lecciones aprendidas, espero crear conciencia sobre los peligros de las estafas románticas impulsadas por la IA y empoderarle para protegerse a sí mismo y a sus seres queridos. ¡Manténgase seguro en línea!

Si desea obtener más información sobre cómo los actores maliciosos pueden aprovecharse de las vulnerabilidades relacionadas con el romance, consulte el blog Cómo la vulnerabilidad puede convertirle en una víctima en el Día de San Valentín.