El proceso de pago es una debilidad de ayuda financiera en las cadenas de suministro globales y a menudo los líderes financieros y de seguridad se pasa por alto.
¿Por qué utilizar la ingeniería social a IA para engañar a los equipos financieros para que vinculen los fondos directamente a sus cuentas cuando los cibercriminales de hoy en día pueden usar ransomware o vender información irregular de identificación personal (PII) en la web oscura?
A medida que las cadenas de suministro se vuelven más complejas, los atacantes están apuntando a la intersección de flujos de trabajo humanos, proveedores de terceros y grandes transacciones financieras. La seguridad de correo electrónico tradicional no está marcada, y es un punto ciego que le costó a la compañía millones de dólares.
Según la perspectiva de ciberseguridad global (GCO) del Foro Económico Mundial en 2025, casi la mitad de las organizaciones globales generarán el uso malicioso de la IA como su principal problema de seguridad cibernética, lo que lo convierte en el más alto problema de la junta para toda la industria.
Las estafas de ingeniería social siguen este dinero
Las grandes empresas, desde los CFO hasta sus fondos y equipos de cuentas por pagar, procesan miles de facturas, interactúan con innumerables proveedores y operan de manera siempre cambiante como resultado de la transferencia de cadenas de suministro globales. Esto crea la tormenta perfecta para que los atacantes inseran facturas falsas, los ejecutivos falsos exigen pagos de emergencia o comprometan las comunicaciones de proveedores para redirigir fondos.
La forma en que la mayoría de los ciberdelincuentes redirigen los fondos se llama ingeniería social. De hecho, la ingeniería social implica el 98% de los ataques cibernéticos. En resumen, las estafas de ingeniería social explotan la vulnerabilidad humana para manipular a las personas o a las víctimas dirigidas a divulgar información personal o tomar medidas que socavan su seguridad, la mayoría de las veces, la seguridad y el estado financiero del negocio del empleador.
Este es un ataque directo al flujo de efectivo. Estos ataques se dirigen a las cadenas de billetera: los empleados con roles orientados a los proveedores, incluidos equipos financieros y ejecutivos, tienen acceso a fondos y pueden aprobar o modificar pagos. Y funciona. Según la investigación de fraude y control de pagos de 2025 de AFP,,,,, En 2024, el 79% de las organizaciones son atacadas por fraude de pago.
Tecnología de ingeniería social y fragilidad del proceso de pago
Compromiso de correo electrónico comercial (BEC) sigue siendo una de las formas más efectivas y costosas de ingeniería social. Estos ataques a menudo evaden los filtros de seguridad de correo electrónico tradicionales, aprovechando el hecho de que el correo electrónico sigue siendo el canal de comunicación principal en los flujos de trabajo financieros, desde el embarque de los proveedores hasta la aprobación de la factura.
Pero la estrategia está cambiando. Según AFP, la imitación ejecutiva está disminuyendo (al 49%), mientras que la imitación de proveedores está aumentando, y el 60% de los encuestados ahora están citando. Esto muestra que el atacante se está adaptando y eligiendo incorporar de manera más inteligente en las operaciones diarias de la cadena de suministro.
Esta tendencia representa una amenaza más específica llamada Compromisos de correo electrónico del proveedor (VEC), un momento en que un atacante se hace pasar por o compromete a un proveedor real para redirigir los pagos. A diferencia del Classic BEC, estos ataques no se originan dentro de su empresa, sino que explotan socios de confianza.
La IA generada hace que estas imitaciones sean más difíciles de detectar. Ahora, los atacantes violaron las bandejas de entrada, las redes sociales y los comunicados de prensa para crear correos electrónicos que imiten el tono y los antecedentes de una persona en particular, haciendo que el mensaje de phishing se vea impactante.
No es solo un correo electrónico. El sonido de Deepfake generado por IA y los clones de video se utilizan para simular interacciones en tiempo real. En un caso, la revista Director de Recursos Humanos informó que un tesorero pagó $ 500,000 en una videoconferencia con un CFO convincente.
La urgencia es otra potente apalancamiento. Las noticias de reclamar los pagos están atrasados o están relacionadas con la presa de las transacciones de emergencia, especialmente en entornos de alta presión, especialmente en entornos de alta presión.
Finalmente, el atacante explota la escala y la duplicación del negocio financiero. Miles de facturas se procesan cada mes, por lo que se pueden pasar por alto pequeños cambios (como los números bancarios ligeramente cambiantes). Cuando estos correos electrónicos se refieren a proveedores reales y copian plantillas de confianza, el fraude puede no detectarse a través del sistema.
Proteger el proceso de pago
Según el Foro Económico Mundial, un tercio de los CEO ahora cita el robo de ciber, espionaje y propiedad intelectual como sus preocupaciones más importantes, pero muchos aún subestiman el daño operativo y financiero causado por el fraude de pago en sí.
Debido a que la generación de IA acelera la escala y la complejidad del fraude, proteger el proceso de pago ya no es solo un problema financiero o de seguridad, sino un problema de supervivencia comercial. El atacante se desliza en las grietas no por capacidades de defensa débiles, sino por desalineación. La mayoría de las políticas de seguridad aún ven el correo electrónico como la única línea de ataque, cuando en realidad se está explotando todo el proceso de pago de los cambios en los cambios de la cuenta bancaria.
Las organizaciones ahora deben tomar medidas para replantear cómo entienden y defienden las amenazas de ingeniería social. Esto significa invertir en visibilidad de extremo a extremo, mantener consistentes a los equipos interfuncionales e implementar IA de comportamiento para capturar lo que las herramientas tradicionales no ven.
El fraude ya no se trata de irrumpir, sino de integrarse. A menos que las empresas comiencen a asegurar un sistema de moneda, en lugar de solo hablar sobre su bandeja de entrada, seguirán vulnerables a los riesgos cibernéticos más caros, ocultos a la vista obvia.
