Afirma que la IA "reduce la distancia entre la intención y la capacidad", de forma que los atacantes pueden ganar habilidades y crecer más rápido que nunca.
AI Fraud and Abuse: Practical Defenses for Retail and Ecommerce
La IA elimina la distancia entre la intención delictiva y la capacidad técnica. La reducción de las barreras de entrada permite a los atacantes menos sofisticados alcanzar escalas y velocidades de nivel experto. Las organizaciones deben adoptar arquitecturas adaptables y una estrategia Zero Trust para defenderse de este multiplicador de amenazas automatizado.
La proliferación de bots de IA agénticos amenaza la integridad de las transacciones. Los bots autónomos capaces de comprar y pagar de forma independiente crean enormes áreas de superficie para el abuso y los daños reputacionales a la marca. La validación de entradas a través de una lente de inteligencia de comportamiento ayuda a distinguir la automatización legítima de los agentes maliciosos.
El Credential Stuffing y la reventa de cuentas validadas ponen en peligro la confianza de los clientes. Los hackers utilizan datos robados a gran escala, lo que hace difícil distinguir entre usuarios reales y actores maliciosos. Los controles por capas y la supervisión de señales de dispositivos antes del inicio de sesión son esenciales para reforzar los escudos sin arruinar la experiencia del cliente.
La IA generativa introduce vectores de alto riesgo, como las filtraciones de datos y los deepfakes. Los medios sintéticos pueden engañar a los centros de llamadas y a los departamentos de tesorería para que realicen pagos no autorizados, mientras que los lenguaje de gran tamaño (LLM) públicos pueden absorber la propiedad intelectual. La implementación de mecanismos estrictos de protección de datos y validación de proveedores aleja los riesgos de la empresa.
- La seguridad debe hallar el equilibrio entre la interrogación del fraude y la velocidad de conversión empresarial. Las estrategias de mitigación engorrosas pueden obstaculizar la experiencia del cliente, pero no actuar pone en peligro a toda la cadena de suministro. Priorizar la identificación de las funciones empresariales más importantes permite una defensa específica y escalable.
Preguntas frecuentes
Los tres desafíos específicos son el crecimiento de los bots de IA agéntica, el Credential Stuffing combinado con la reventa de credenciales validadas, y el volcado de datos filtrados en los LLM públicos.
El sector se enfrenta a diferentes problemas: una gran red de superficies, el acceso a través de múltiples puntos del Edge y las presiones de los mercados de productos secundarios.
La estrategia de primera línea recomendada es identificar y conocer el tráfico incorporando el comportamiento benigno a listas de autorización y bloqueando todo lo demás.
Los deepfakes utilizan llamadas de voz y vídeo para engañar a las centralitas y los departamentos de tesorería; por ejemplo, puede suplantar a un director ejecutivo para solicitar tarjetas de regalo, o a un cliente para engañar a un transportista logístico.
Las empresas deben evaluar la identidad (con quién interactúan), la intención (lo que se pide) y el comportamiento (cómo se produce la comunicación).
También conocido como fraude de devolución de pago, el "fraude amistoso" se produce cuando un cliente realiza una compra legítima pero posteriormente afirma que la transacción fue fraudulenta o no autorizada.
El objetivo final es garantizar que todas las interacciones que tiene un consumidor con una marca sean seguras.