La nueva estafa telefónica: llamadas con IA que simulan voces de familiares y amigos

El mundo de la Inteligencia Artificial (IA) no para de extenderse y el ámbito del cibercrimen no escapa a ello. Los Mossos d'Esquadra han alertado de una nueva forma de estafa telefónica conocida como 'deep fake' de audio en la que organizaciones criminales llaman por teléfono a personas y simulan voces de sus familiares, amigos o allegados. De esta forma, intentan conseguir datos personales o transferencias de dinero con cualquier pretexto.

"Tenemos denuncias de trabajadores que reciben un audio en el que identifican como interlocutor a un compañero de trabajo, que le pide dinero", ha explicado el subinspector de Mossos d'Esquadra José Ángel Merino, jefe del área central de Delitos Económicos de la División de Investigación Criminal (DIC). Los agentes ya han recibido varias denuncias por esta modalidad y han comenzado a investigar para averiguar qué grupos organizados podrían estar detrás.

Se trataría de bandas especializadas, que no siempre operan desde España, y que antes de iniciar la estafa han realizado un trabajo de investigación. Habitualmente, su objetivo son las empresas, ya que pueden obtener datos con más facilidad a través de las redes sociales, tanto de directivos como de trabajadores. En algunos casos detectados se ha intentado camuflar este posible fraude como una transacción comercial.

El uso de la IA para simular voces de familiares y amigos es una sofisticación de otra modalidad de estafa más extendida conocida como 'vishing', que combina los vocablos ingleses 'voice' y 'phising'. Esta modalidad de fraude consiste en llamar a la víctima haciéndose pasar por un operador externo, como un empleado bancario, para ganarse su confianza y lograr sacarle datos personales o que le haga transferencias de dinero a una cuenta gestionada por un testaferro. El dinero acaba en manos de la banda criminal.

Los criminales se pueden hacer pasar por empresas de transporte, suministro de energía, correos y mensajería. En ocasiones, la única intención del delincuente puede ser la captación de datos personales, pero, en otras, el objetivo principal es obtener las credenciales de acceso a los datos bancarios para realizar seguidamente transacciones fraudulentas. 

'Vishing' bancario y 'smishing'

Otra variante es la combinación del 'vishing' bancario con el conocido como 'smishing': aquí la víctima recibe un SMS en su teléfono móvil con apariencia de ser de un banco. Seguidamente el criminal llama por teléfono haciéndose pasar por un empleado de la propia entidad bancaria. De esta forma, el receptor puede creer erróneamente que efectivamente quien llama es quien dice ser.

En los últimos años, han aumentado de forma importante las víctimas por 'vishing en Catalunya'. En 2023, fue la tercera modalidad de fraude por número de denuncias con una cifra anual superior a los 3.000 casos.

Los investigadores han detectado que cada vez es más frecuente que los delincuentes utilicen software informático y llamadas de teléfono por Internet (VoIP o telefonía IP) a través de las cuales es posible simular la numeración del teléfono emisor. 

La policía catalana ha recordado que "cualquiera puede ser víctima de una estafa" y por eso instan a denunciar cualquier hecho delictivo, pese a que la cantidad económica perdida no sea muy alta. Gracias a estas denuncias se puede cercar a las bandas organizadas por su modo de operar, señalan fuentes policiales.