Ciberestafas en tiempos de IA: Nuevas tácticas, la “lista gris” del BCRA y cómo cambió el perfil de las víctimas

La irrupción de la inteligencia artificial se convirtió en uno de los puntos de inflexión más importantes de los últimos años. En el Día Internacional de la Seguridad Informática, las entidades financieras advierten sobre un escenario que combina mayor sofisticación, nuevos patrones de comportamiento delictivo y un cambio notorio en el tipo de usuarios que suelen caer.

Según explica Javier Tepedino, jefe de Ciberseguridad de Banco del Sol, la disponibilidad masiva de estas herramientas permite que los atacantes profesionalicen sus tácticas: “Hoy se pueden generar mensajes y sitios que imitan con precisión a los de un banco y desplegarlos por múltiples canales a una velocidad que supera la capacidad de reacción tradicional.” Esta automatización redujo significativamente las señales de alerta de los usuarios que antes podían detectar más fácilmente los intentos de fraude.

El cambio también se refleja en el perfil de las víctimas. La generación más joven, habituada a operar con rapidez y mínima lectura, aparece ahora entre los segmentos más propensos al clic impulsivo en enlaces maliciosos. Ese comportamiento, descrito como “one click”, explica el aumento de casos en usuarios nativos digitales.

El mapa argentino del fraude muestra un desplazamiento similar. Ciudades históricamente asociadas a estafas digitales, como Mar del Plata y Rosario, dieron lugar a un crecimiento marcado en el Área Metropolitana de Buenos Aires (AMBA), donde hoy se concentra alrededor del 70% de los incidentes. A nivel regional, Brasil continúa siendo uno de los principales generadores de malware por su escala y nivel de digitalización.

Aunque el phishing tradicional sigue vigente, los bancos detectan un desplazamiento claro hacia las redes sociales como puerta de entrada. En los últimos meses, aproximadamente el 90% de los intentos de robo de datos se canaliza a través de perfiles falsos que simulan ser canales de asistencia en Instagram y Facebook. Estos perfiles captan consultas reales, responden con aparente cercanía y, desde allí, solicitan información sensible o inducen a los usuarios a hacer clic en enlaces fraudulentos. Para los equipos de ciberseguridad, este fenómeno representa uno de los desafíos más críticos del último año.

A este contexto se suma la nueva regulación del Banco Central, que obliga a bancos y procesadores de pagos a compartir una base unificada con cuentas marcadas como fraudulentas e identificar usuarios con un número inusualmente alto de cuentas activas. La medida dio origen a una “lista gris” que se activa cuando una persona supera un umbral cercano a las 40 cuentas y que obliga a las entidades a evaluar la continuidad de la apertura. El análisis inicial mostró incluso casos extremos: usuarios con más de 6.000 cuentas abiertas entre bancos y fintech, habilitadas por procesos de alta digital y utilizadas como intermediarias en maniobras de fraude o arbitraje de promociones.

Frente a estos desafíos, las entidades financieras están incorporando nuevas capas de seguridad. Entre ellas, un sistema que verifica el estado del dispositivo desde el que opera el usuario y bloquea la cuenta si el teléfono fue modificado (ruteado o con jailbreak), una condición que puede abrir vulnerabilidades que el cliente desconoce. Este tipo de controles funciona como complemento de la biometría y permite alertar directamente dentro de la app cuando el dispositivo presenta riesgos.

“De cara a 2026, el phishing potenciado por IA va a seguir siendo el eje de las estafas digitales. Eso nos obliga a reforzar los procesos de identidad en el onboarding, aumentar la frecuencia de las evaluaciones de ethical hacking y monitorear de forma continua los patrones de comportamiento anómalos. En un ecosistema donde la automatización juega a favor del fraude, la prevención tiene que combinar tecnología, controles más estrictos y un trabajo permanente de educación digital”, cierra Tepedino.