Un 35% de los ataques de suplantación de identidad se hacen con IA, ¿cómo enfrentar este fraude digital?

Vivir en la era de la inteligencia artificial (IA), se podría decir, significa vivir con igual emoción y preocupación. Los avances que se logra en la industria en cuestión de meses son marcados, y los usos que se les puede dar a estas herramientas dejan bastantes dudas respecto a qué tan seguro es que se sigan desarrollando herramientas tan sofisticadas.

Con herramientas no muy rebuscadas se puedan generar insumos para llevar a cabo ataques mal intencionados, o que los cibercriminales suplanten la identidad de los usuarios, y con técnicas de IA puedan robar datos bancarios y de tarjetas. 

Un reporte de la multinacional IBM sostiene que el 35% de los ataques relacionados a la suplantación de identidad se hacen con IA.

La suplantación de identidad es una de las grandes amenazas de ciberseguridad, en la que los hackers se dirigen a los usuarios directamente a través de correo electrónico, texto o mensajes directos, fingiendo ser otras personas, empresa o banco, con el fin de estafar o robar datos y dinero. 

El informe de IBM, titulado "El Costo de una Brecha de datos de 2025", añade que actualmente el 16% de los ataques de vulneración de datos recurren a la asistencia de inteligencia artificial, especialmente en ataques de phishing (hacerse pasar por una entidad).

Solo en el phishing, el uso de la IA puede llegar al 37%, a través de llamado deepfake, o la técnica cuando un hacker hace un clon digital de otra persona. 

Es más, con el conocimiento y la insistencia adecuada, se pueden usar chatbots como ChatGPT o DeepSeek para crear correos electrónicos o mensajes de texto muy bien redactados y convincentes para que la víctima facilite información personal o privilegiada con la que estafar a otros, extorsionar a la propia víctima o incluso a una entidad.

• Ciberseguridad en tiempos de IA: tres expertos alertan que es mejor desconfiar de los chatbots

Pequeñas empresas con más problemas 

Entre los equipos de desarrollo de gigantes como Google, OpenAI, Claude o Grok, existen departamentos dedicados a crear algoritmos que de manera temprana permitan bloquear pedidos de instrucciones maliciosas, pero en este auge de la IA, existen también varias empresas pequeñas que se han sumado a la ola de lo artificial que, posiblemente, no tengan buenas políticas.

De acuerdo con el informe de IBM, el 62% de las empresas carece de controles de acceso adecuados en los sistemas de Inteligencia Artificial.

Pero, alejándose de los números, ¿cómo puede impactar esto a un usuario común y corriente?

La respuesta corta, en un sentido más fatalista, es ¿cómo no?

Nubes: las minas de oro de la era moderna

A medida que se ha adoptado una creciente cultura de depender de la nube, que en última instancia es depender de la integridad y seguridad de otro computador del que no tenemos control y en el que depositamos nuestra información, la cantidad de ataques que resulta en filtración de datos es cada vez mayor.

Esto importa pues en estas filtraciones de datos, de las que Ecuador también ha sido víctima, se puede divulgar todo tipo de información, desde un simple correo electrónico, hasta la dirección de domicilio o la identidad de los parientes, si es que los cibercriminales logran tener acceso a bases de datos gubernamentales, como ocurrió en 2019.

Analistas e investigadores en ciberseguridad afirman que este tipo de datos incluso se puede obtener en lugares de comercio informal en ciudades grandes del país. Algo que el propio Gobierno reconocía en 2019.

Aunque sin ir más lejos, con los programas adecuados, direcciones web específicas, y una cartera con criptomonedas, es posible acceder a esta información sin salir de casa a través de foros en la DarkWeb y sin tener conocimientos avanzados de informática.

Ahora, con este tipo de información, se vuelve mucho más fácil tomar control de cuentas personales de redes sociales, o incluso vulnerar la seguridad de entidades financieras.

O en el menor de los casos, tener los insumos suficientes para crear perfiles falsos en redes sociales con los que potencialmente se puede ganar la confianza de personas para fines malintencionados.

Ahora ¿qué sucede en Ecuador cuando alguien suplanta la identidad de otra persona?

¿Cómo se sanciona la suplantación de identidad en Ecuador?

Pablo Solines, abogado especializado en a Protección de Datos Personales y Propiedad Intelectual, señala que es el artículo 212 del Código Orgánico Integral Penal (COIP) que se estipula el delito de suplantación de identidad.

"La persona que de cualquier forma suplante la identidad de otra para obtener un beneficio para sí o para un tercero, en perjuicio de una persona, será sancionada con pena privativa de libertad de uno a tres años", indica el COIP.

Según explica Solines, pueden existir matices al momento que la identidad de una persona es suplantada, pues además de las sanciones de tipo penal, pueden haber "posibles responsabilidades civiles y administrativas por el uso indebido de datos personales", aclara.

"Los daños dependerán del impacto", reconoce en un punto este abogado, pues "no es lo mismo suplantar la identidad para robar una cuenta de USD 100 que una de USD 1 millón".

Fue precisamente a partir del precedente de la filtración de 2019, que se dio impulso a una Ley de Protección de Datos Personales, promulgada en 2021 pero cuya aplicación inició en 2023. 

Esta, a su vez, incluyó la creación de la Superintendencia de Protección de Datos Personales, entidad que ha sido sumamente crítica en la manera en que se debe dar forma a una eventual Ley de Inteligencia Artificial en Ecuador, que permanece en debates en la Comisión de Educación y Tecnología de la Asamblea Nacional por varias semanas.

Solines recalca que existen actualmente mecanismos legales que protegen a los ecuatorianos de la suplantación de identidad, y de posibles entrenamientos de modelos de inteligencia artificial con fotografías o fragmentos de audio con la voz de una persona para crear un clon sin el consentimiento correspondiente.

También reconoce que es importante que en el sistema judicial exista personal conocedor del tema, y que desde el Legislativo se promueva la adopción de mejores regulaciones y normativas que incluyan estos usos malintencionados de la inteligencia artificial, y todo lo que involucran.

Las empresas y su rol

Además del apartado legal, existe también la responsabilidad por parte de empresas.

Las empresas o entidades, que almacenan los datos personales de las personas y que pueden sufrir filtraciones graves, están en la obligación de notificar de estas a las autoridades, así como a los usuarios.

Igual ocurre con las operadoras telefónicas. El pasado 26 de agosto se realizó en Ecuador el lanzamiento de GSMA Open Gateaway, un nuevo protocolo unificado para las distintas operadoras, que entre sus aplicaciones está la implementación de herramientas para detectar posibles ataques de SIM swapping.

Este es un ataque que permite a un cibercriminal duplicar de forma fraudulenta una tarjeta SIM para tener acceso a información privilegiada.

Aunque, este tipo de herramienta de seguridad apenas se está implementando en el país de manera universal. 

Al menos en dos de las más grandes operadoras telefónicas nacionales han confirmado su adopción, sin una fecha estimada para la culminación de su implementación, o cuándo estará disponible no solo como un servicio para empresas sino para usuarios finales, según comentaron a PRIMICIAS ejecutivos conocedores del tema.