1. marzo 2026 | Imprimir artículo |

Seguros: detección de fraude con IA bloquea oleada de ingeniería social

2 min de lectura

Un grupo asegurador alemán con 6.000 empleados fue blanco de una campaña coordinada de ingeniería social a principios de 2026. Llamadas Deepfake, correos electrónicos falsos del consejo directivo y documentos manipulados: los atacantes utilizaron contenidos generados por IA a nivel profesional. El sistema interno de detección de fraude basado en IA identificó y detuvo los 23 intentos de ataque.

En resumen

  • 23 ataques coordinados de ingeniería social con deepfakes y documentos generados por IA
  • Los atacantes buscaban transferencias por un valor total de 8,7 millones de euros
  • La detección de anomalías basada en IA detuvo cada uno de los intentos
  • Una formación adicional en concienciación tras el incidente redujo en un 94 por ciento la tasa de clics en phishing
3,100 millones de $
Daños por ingeniería social en EE. UU. en 2023
Fuente: Informe FBI IC3, 2023

Situación inicial: las aseguradoras como objetivo lucrativo

Las compañías de seguros gestionan a diario importantes cantidades de dinero: liquidación de siniestros, pagos de reaseguro, comisiones. Estos flujos financieros las convierten en objetivos preferentes para el fraude mediante suplantación de correo empresarial (BEC) y el fraude al CEO.

El grupo asegurador implementó en 2025 un sistema de detección de fraude asistido por IA que analiza en tiempo real los patrones de comunicación, las órdenes de pago y la autenticidad de los documentos.

„Hasta 2027, los agentes de IA reducirán en un 50 por ciento el tiempo que los atacantes necesitan para explotar cuentas comprometidas. Las empresas deben acelerar en consecuencia sus sistemas de detección.“Gartner, comunicado de prensa marzo de 2025

El ataque: IA contra IA

En febrero de 2026, un grupo organizado lanzó una campaña coordinada con tres vectores de ataque simultáneos:

Vector 1 – Llamadas Deepfake: Los atacantes utilizaron clonación de voz para imitar la voz del CFO. Empleados del departamento financiero recibieron llamadas con la instrucción de realizar „pagos urgentes“ para una supuesta adquisición.

Vector 2 – Fraude al CEO por correo electrónico: Al mismo tiempo, llegaron correos electrónicos aparentemente auténticos en estilo del consejo directivo, que enlazaban a contratos falsos y a cuentas bancarias falsas.

Vector 3 – Documentos manipulados: Los contratos enlazados incluían logotipos reales de la empresa, números correctos del registro mercantil y firmas falsas, generadas con herramientas de IA.

Detección: anomalías en milisegundos

El sistema de IA de la aseguradora detectó los ataques en múltiples niveles:

Análisis de voz: Las llamadas deepfake presentaban artefactos mínimos en las bandas de frecuencia que el sistema clasificó como sintéticos. Las 7 llamadas fueron marcadas automáticamente.

Análisis de comportamiento: La comunicación por correo electrónico se desviaba del patrón habitual del CFO: distinta hora del día, urgencia inusual, combinación nueva de destinatarios. Los 12 correos fueron bloqueados.

Análisis de documentos: Los contratos falsos contenían inconsistencias en metadatos y anomalías en tipografías que indicaban una generación mediante IA.

Resultado: 23 de 23 intentos de ataque detectados y detenidos. Daño total: cero euros.

Tras el ataque: concienciación a un nuevo nivel

Aunque el sistema técnico detuvo todos los ataques, el equipo de seguridad utilizó el incidente para un programa integral de concienciación. Los empleados aprendieron hasta qué punto los deepfakes generados por IA son actualmente realistas.

La simulación de phishing posterior mostró: la tasa de clics bajó del 12 por ciento al 0,7 por ciento, una reducción del 94 por ciento. Los incidentes reales son el impulsor más efectivo de la concienciación.

Dato: Según el informe FBI IC3 de 2025, los ataques de ingeniería social causaron daños mundiales superiores a 6.500 millones de dólares estadounidenses.

Dato: Los sistemas de detección de fraude basados en IA reducen, según Gartner, la tasa de falsos positivos hasta en un 60 por ciento frente a los sistemas basados en reglas.

Datos clave

Coste por incidente: Un ataque de phishing exitoso cuesta a las empresas una media de 4,76 millones de euros.

Ingeniería social: El 98 por ciento de todos los ciberataques utiliza al menos una forma de ingeniería social.

Preguntas frecuentes

¿Cómo se detectan las llamadas deepfake?

Técnicamente mediante análisis de frecuencia y biométrica de voz. Organizativamente mediante verificación de llamada de retorno: toda instrucción telefónica de pago por encima de un importe definido requiere una llamada de verificación al número interno conocido.

¿Pueden los sistemas de IA detectar también ataques generados por IA?

Sí, y actualmente los sistemas de detección superan a las herramientas de ataque. Pero se trata de una carrera armamentista. Las empresas deben considerar la detección basada en IA como una capa dentro de un enfoque de seguridad multicapa.

¿Cuál es el coste de un sistema de detección de fraude asistido por IA?

Para una empresa de este tamaño, los costes anuales oscilan entre 250.000 y 400.000 euros. Los daños evitados solo con este incidente superaron los costes anuales en un factor 20.

Más del entramado MBF Media

Recomendaciones de lectura de la redacción

Fuente de imagen: Pexels

Imprimir artículo
Tobias Massow

Sobre el autor: Tobias Massow

Más artículos de

También disponible en

FrançaisEnglishDeutsch
Una revista de Evernine Media GmbH