← Volver al blog

Tus clientes ya fueron perfilados

7 min de lectura · Ciberseguridad · LATAM

En algún lugar de la red, un bot clandestino entrega en segundos el perfil completo de cualquier persona: nombre, cédula, dirección, teléfono, operador móvil, historial tributario, vehículos, propiedades, e incluso antecedentes. No es ciencia ficción ni un caso aislado: es un servicio comercial que opera hoy en toda Latinoamérica bajo el modelo Crime-as-a-Service.

La verificación tradicional ya no protege a nadie

Si tu empresa verifica identidad preguntando nombre, número de documento y teléfono, estás usando exactamente los mismos datos que los atacantes ya tienen. Es como poner una cerradura cuya llave está publicada en Internet.

Los bots de perfilamiento criminal cruzan información de múltiples fuentes en cascada: a partir de un solo dato (una cédula, un número de celular, un correo electrónico) reconstruyen la identidad completa de la persona. Esto incluye datos gubernamentales, registros de operadores móviles, historial financiero, y credenciales filtradas en la dark web.

La pregunta ya no es SI tienen los datos de tus clientes. La pregunta es qué vas a hacer cuando los usen contra tu marca.

Así se ve un ataque real (paso a paso)

Imagina que eres cliente de un banco. Llamas, te verifican con tu nombre y cédula, te envían un código por SMS, lo confirmas, todo funciona. Ese flujo parece seguro. Pero no lo es cuando el atacante actúa primero:

El ataque (antes de que la víctima se entere):

  1. El atacante consulta un bot clandestino. En segundos tiene: nombre completo, cédula, dirección, teléfono, operador móvil
  2. Llama al operador móvil haciéndose pasar por la víctima. Tiene todos los datos para pasar la verificación. Solicita cambio de SIM
  3. El operador activa la nueva SIM. Ahora el atacante recibe los SMS de la víctima
  4. Llama al banco haciéndose pasar por la víctima. Tiene nombre, cédula, dirección. Pasa la verificación de identidad
  5. El banco envía código OTP por SMS. Llega al atacante, no a la víctima
  6. El atacante confirma el código. El banco lo acepta. Transferencia ejecutada

Tiempo total: menos de 20 minutos. La víctima se entera horas después cuando su teléfono deja de funcionar.

El banco hizo todo "bien" según su protocolo. Verificó identidad, envió OTP, confirmó código. Pero el protocolo completo estaba comprometido desde el paso 1, porque los datos de verificación ya no son secretos.

LATAM: el mismo patrón en toda la región

  • Colombia: Filtraciones de registros civiles, tributarios y de salud alimentan bots de perfilamiento activos
  • México: Datos del padrón electoral y registros fiscales circulan en mercados subterráneos
  • Perú: Registros de identidad y tributarios comprometidos, extorsión con datos reales en aumento
  • Chile: Filtraciones del registro civil y electoral documentadas desde 2023
  • Ecuador: Una filtración masiva de 2019 sigue siendo explotada comercialmente

El patrón es idéntico en toda la región: datos gubernamentales filtrados, operadores de telecomunicaciones comprometidos, y bots automatizados que empaquetan todo como un servicio comercial accesible para cualquiera.

¿Qué puede hacer tu empresa?

Si asumes que los datos de identidad de tus clientes ya están comprometidos, tu estrategia de seguridad cambia radicalmente. Hay tres capas que una empresa puede implementar hoy:

1. Dejar de depender del SMS como factor de verificación

El SMS viaja por la red del operador. Si el atacante controla la SIM (o eSIM), controla el SMS. La alternativa: tokens criptográficos que se generan y validan en el servidor, con expiración de segundos, y que nunca viajan por la red celular. El atacante puede tener la SIM, pero el token no llega por ahí.

Algunas empresas ya migraron a códigos rotativos en app (TOTP). Están protegidas contra SIM Swapping. Pero siguen siendo suplantadas por SMS y llamadas, porque el ataque no necesita romper la verificación técnica: solo necesita engañar al usuario para que entregue el código voluntariamente.

2. Detectar mensajes fraudulentos antes de que el cliente caiga

Cuando un atacante envía un SMS suplantando tu marca ("Retiro no autorizado, haga clic aquí"), tu sistema puede analizar ese mensaje en milisegundos: resolver la URL acortada, verificar la edad del dominio destino, detectar patrones de urgencia fabricada, y emitir un veredicto antes de que el usuario haga clic.

3. Saber quién te está suplantando (antes de que tus clientes te lo digan)

No esperar a que un cliente denuncie. Recibir un reporte que consolida cuántos dominios fraudulentos están activos contra tu marca, desde qué países operan, cuál es la tendencia, y alertas inmediatas cuando aparece un dominio nuevo. Con esa evidencia, tu equipo legal solicita el takedown al registrar antes de que el dominio acumule víctimas.

Cómo mediaAPI Security implementa estas tres capas

Capa 1: OTP criptográfico (reemplaza SMS)

Tu aplicación genera un PIN con un llamado a la API. El PIN se almacena como hash con expiración configurable (30 segundos, 5 minutos, lo que necesites). La validación se hace contra el servidor, no contra la red celular. Si el atacante hizo SIM Swapping, no le sirve de nada: el PIN nunca viajó por SMS.

Capa 2: Análisis de amenazas en tiempo real

Envías el texto del mensaje sospechoso a la API. En menos de 200ms recibes: veredicto (legítimo/sospechoso/fraudulento), URLs resueltas (destino real detrás de acortadores), edad del dominio destino, score de urgencia del lenguaje, y si el dominio coincide con los dominios reales de tu marca. Tu sistema decide automáticamente: bloquear, alertar, o escalar.

Capa 3: Brand Intelligence Report

Un reporte consolidado que te dice: cuántos dominios fraudulentos están activos contra tu marca, desde qué países operan, cuál es la tendencia (subiendo o bajando), y alertas cuando aparece un dominio nuevo. Incluye evidencia técnica (fecha de creación, registrar, volumen de mensajes detectados) lista para que tu equipo legal solicite el takedown. Cada mensaje que pasa por el sistema alimenta tu reporte sin configuración adicional.

El efecto red: inmunidad colectiva

Cuando una empresa detecta un dominio fraudulento a través de la API, ese dominio queda registrado en la base de amenazas compartida. La siguiente empresa que reciba un mensaje con ese dominio lo bloquea instantáneamente, sin necesidad de analizarlo de nuevo. El atacante quemó el dominio en el primer intento.

Es el mismo principio de las vacunas: cada detección individual protege a todo el ecosistema. Mientras más empresas participan, más rápido se neutralizan los ataques.

Lo que ninguna API resuelve sola: la ingeniería social por voz

Hay un escenario donde la tecnología tiene límites claros. El atacante llama al usuario haciéndose pasar por el banco, con acento regional correcto, citando datos reales (nombre, últimos movimientos, sucursal), y convence al usuario de transferir su dinero a una "cuenta temporal de seguridad". El usuario hace la transferencia voluntariamente desde su propia app, con su propia biometría. Técnicamente, la transacción es legítima.

Contra ese escenario, una API de detección de mensajes no puede intervenir directamente en la llamada de voz. Lo que sí puede hacer:

  • Antes: Brand Intelligence alerta a la empresa que hay una campaña activa de vishing usando su nombre. La empresa envía alertas preventivas a sus clientes
  • Durante: Si el atacante envía un SMS de "confirmación" como parte del engaño (muchos lo hacen para dar credibilidad), el análisis de amenazas lo detecta
  • Después: Los números y dominios usados quedan en la base de amenazas compartida para bloquear futuros intentos

La defensa completa contra ingeniería social requiere que la empresa también implemente controles internos: alertas cuando el destino es una cuenta nueva, períodos de espera para montos inusuales, y detección de comportamiento atípico. La API de seguridad cubre la capa digital del ataque. Los controles internos cubren la capa humana.

El costo de no actuar

Cada fraude exitoso contra un cliente de tu empresa tiene un costo triple: el reembolso financiero, la investigación interna, y el daño reputacional que ningún comunicado de prensa repara. Multiplicado por cientos de ataques mensuales que el modelo CaaS permite ejecutar en paralelo, el impacto es existencial para marcas que dependen de la confianza digital.

Las empresas que asumen que sus clientes ya fueron perfilados construyen defensas reales. Las que no, solo reaccionan cuando ya es tarde.

Construye defensas que asumen lo peor

Detección de suplantación en milisegundos, integrada en TU plataforma con TU marca. Tus clientes nunca ven un tercero.

Conocer Brand Intelligence Ver Documentación API

Artículos relacionados

Ciberseguridad

Smishing en LATAM: El Fraude que Destruye Marcas

Compliance

Tu proceso de cumplimiento tiene un problema que no ves

Seguridad

Tus datos en tu nube: aislamiento total