Los ciberestafadores eluden la seguridad bancaria con herramientas ilícitas vendidas en Telegram
EMPRESAS Y NEGOCIOS / CIBERSEGURIDAD. Tiempo de lectura: 9 minutos.
MIT Technology Review identificó casi dos docenas de canales y grupos que afirman vulnerar importantes exchanges de criptomonedas y bancos de renombre.
Desde el interior de un centro de blanqueo de dinero en Camboya, un empleado abre una popular app bancaria vietnamita en su teléfono. La app le pide que suba una foto asociada a la cuenta, así que hace clic en una foto de un hombre asiático de unos treinta y tantos años.
A continuación, la aplicación solicita abrir la cámara para una prueba de vida por vídeo. El estafador muestra una imagen estática de una mujer que no guarda parecido alguno con el hombre propietario de la cuenta. Tras una espera de 90 segundos —mientras la aplicación le indica que reajuste la cara dentro del encuadre—, consigue acceder.
El exploit que está demostrando, en un vídeo que me ha compartido un investigador de ciberestafas llamado Hieu Minh Ngo, es posible gracias a uno de los cada vez más numerosos servicios de hacking ilícitos, fácilmente disponibles para su adquisición en Telegram, y diseñados para burlar los escaneos faciales de «Conoce a tu cliente» (KYC).
Estas salvaguardias bancarias y criptográficas están diseñadas para confirmar que una cuenta pertenece a una persona real y que el rostro del usuario coincide con los documentos de identidad proporcionados para abrir la cuenta. Pero los estafadores las están eludiendo para abrir cuentas mula y blanquear dinero. En lugar de utilizar la transmisión en vivo de la cámara de un teléfono para una prueba de vida, estos ataques suelen desplegar una herramienta conocida como cámara virtual. Los usuarios pueden reemplazar la secuencia de vídeo con otros vídeos o fotos —representando a una persona real o un deepfake, o incluso un objeto.
A medida que las instituciones financieras implementan medidas de seguridad reforzadas destinadas a detener a los ciberestafadores, estos mecanismos de evasión son la última fase en el juego del gato y el ratón entre los operadores criminales y la industria de servicios financieros.
A lo largo de una investigación de dos meses a principios de este año, MIT Technology Review identificó 22 canales y grupos públicos de Telegram en chino, vietnamita e inglés que anuncian kits de evasión y datos biométricos robados. Estos kits de software utilizan una variedad de métodos para comprometer sistemas operativos de teléfonos y aplicaciones bancarias, afirmando permitir a los usuarios eludir los controles de cumplimiento impuestos por instituciones financieras que van desde grandes exchanges de criptomonedas como Binance hasta bancos de renombre como el BBVA de España.
“Especializados en servicios bancarios —gestión de dinero sucio”, se leía en la ya eliminada biografía de Telegram del programa utilizado por el blanqueador de dinero camboyano, completa con un emoji de pulgar hacia arriba. “Seguro. Profesional. Alta calidad.” Algunos de los canales y grupos tenían miles de suscriptores o miembros, y muchos publicaban listados de sus servicios (“Todo tipo de servicios de verificación KYC”; “Todo es fluido y sin fisuras”) junto con vídeos que supuestamente mostraban hackeos exitosos.
Telegram afirma que, tras revisar las cuentas, las eliminó por violar sus términos de servicio. Pero este tipo de mercados online proliferan fácilmente, y múltiples canales y grupos que anuncian herramientas similares permanecen activos.
Bancos y caiceros.
El aumento en los intentos de eludir el KYC ha coincidido con la expansión de una industria global de ciberestafas de "engorde de cerdos". Las plataformas de criptomonedas y los bancos de todo el mundo se enfrentan a un escrutinio creciente por el flujo de dinero obtenido ilegalmente, incluidos los beneficios de tales estafas, a través de sus plataformas. Esto ha impulsado un endurecimiento de la normativa bancaria en países como Vietnam y Tailandia, donde los gobie os han incrementado los requisitos de verificación de clientes y de seguimiento del fraude, y están impulsando salvaguardias más sólidas contra el blanqueo de capitales en la industria de las criptomonedas.
Chainalysis, una firma estadounidense de análisis de blockchain, estima que alrededor de 17.000 millones de dólares fueron robados en 2025 en estafas y fraudes con criptomonedas, frente a los 13.000 millones de dólares de 2024. Mientras tanto, la Oficina de las Naciones Unidas contra la Droga y el Delito advirtió en un informe reciente de que la expansión de los sindicatos de estafadores asiáticos en África y el Pacífico ha ayudado a la industria a «aumentar drásticamente los beneficios».
Esa combinación de factores —mayor escrutinio, pero también mayores ingresos— ha catapultado los 'bypass' de KYC al centro del mercado en línea para estafadores cibe éticos y blanqueadores de dinero de casinos. Aunque las estimaciones varían, investigadores de ciberseguridad afirman que este tipo de ataques están aumentando: La empresa de verificación biométrica iProov estimó que los ataques con cámara virtual fueron más de 25 veces más comunes en todo el mundo en 2024 que en 2023, mientras que Sumsub, una empresa que ofrece servicios KYC, informó que los intentos de fraude «sofisticados» o de varios pasos, incluidos los 'bypass' de cámara virtual, casi se triplicaron el año pasado entre sus clientes.
Tres instituciones financieras que fueron nombradas como objetivos en dichos canales de Telegram —el mayor exchange de criptomonedas del mundo, Binance, así como BBVA y Revolut, con sede en el Reino Unido— me dijeron que son conscientes de tales evasiones y enfatizan que son un desafío para toda la industria. Un portavoz de Binance afirmó que ha “observado intentos de esta naturaleza para eludir nuestros controles”, añadiendo que “hemos prevenido con éxito dichos ataques y seguimos confiando en nuestros sistemas”. BBVA y Revolut también se negaron a comentar si sus salvaguardas habían sido vulneradas.
Es difícil estimar las tasas de éxito, porque las empresas pueden no ser conscientes de las elusiones —o no informarlas— hasta más tarde. «Lo importante es lo que no vemos», me dijo Artem Popov, director de productos de prevención de fraude de Sumsub, en referencia a los ataques que pasan desapercibidos. «Siempre hay una parte de la historia que puede estar completamente oculta a nuestros ojos, y a los ojos de cualquier empresa del sector, utilizando cualquier tipo de proveedor KYC».
Cómo los delincuentes navegan un laberinto de cumplimiento normativo.
Los anuncios de estos 'exploits' parecen bastante simples, pero en la parte técnica, construir un 'bypass' exitoso es complejo y a menudo implica múltiples métodos. Algunos canales ofrecen hacer 'jailbreak' a un teléfono físico para que los estafadores puedan activar el uso de una cámara virtual (VCam) en lugar de la integrada cuando quieran. Otros ataques inyectan código conocido como un 'hooking framework' en la aplicación de una institución financiera que activa la VCam para que se abra. En cualquier caso, las VCam se pueden usar para engañar los controles KYC con imágenes o vídeos que reemplazan el vídeo genuino y en directo del titular de la cuenta.
Sergiy Yakymchuk, CEO de Talsec, una empresa de ciberseguridad que presta servicios principalmente a instituciones financieras, revisó los detalles de los canales de Telegram identificados por MIT Technology Review y afirma que son consistentes con las tácticas exitosas utilizadas contra sus clientes bancarios y de criptomonedas. Su equipo recibió solicitudes de ayuda de bancos y plataformas de intercambio por aproximadamente 30 ataques basados en VCam durante el último año, frente a menos de 10 en 2023.
Cada vez más, los hackers comprometen tanto el propio teléfono como el código de las aplicaciones de las instituciones financieras antes de alimentar la cámara virtual con una mezcla de datos biométricos robados y deepfakes, dice Yakymchuk.
“Hace un tiempo, bastaba con descompilar la aplicación de un banco y distribuirla en Telegram, y eso era todo lo que necesitabas”, dice. “Ahora ya no es suficiente, porque tienes KYC, y cada vez se necesitan más cosas”.
Para los blanqueadores de dinero, la elusión de los controles KYC se ha vuelto esencial para todo ahora mismo, porque las redes de estafas necesitan mover dinero”, dice Ngo, el investigador que compartió el vídeo de demostración. Un ex hacker convicto que se convirtió en asesor de ciberseguridad para el gobie o vietnamita, Ngo ahora dirige una organización sin ánimo de lucro contra las estafas y ayuda a las fuerzas del orden a investigar el blanqueo de dinero.
Describe cómo funciona el proceso en el caso de las estafas de 'pig butchering': los fondos procedentes de las víctimas se reciben en cuentas bancarias controladas o alquiladas por una red de blanqueo de dinero, conocida coloquialmente como «casas de agua». Los blanqueadores de dinero utilizan métodos para eludir el KYC para acceder a las cuentas y redistribuir rápidamente los beneficios antes de convertirlos en activos digitales —típicamente en forma de la stablecoin Tether, un tipo de criptomoneda vinculada al dólar estadounidense.
Estas transacciones suelen tener lugar en segundos, bajo una gestión estrechamente orquestada. «Ellos conocen, con gran claridad, el flujo de cómo los bancos verifican o autentican las cuentas», afirma Ngo.
El juego del gato y el ratón.
El crecimiento del blanqueo de capitales proveniente de ciberestafas ha provocado un mayor escrutinio de las instituciones financieras. En 2023, Binance se declaró culpable en tribunales federales de EE. UU. por operar sin salvaguardias contra el blanqueo de capitales. Donald Trump indultó al ex-CEO de Binance Chaopeng Zhao el pasado octubre.
Un análisis reciente del Consorcio Inte acional de Periodistas de Investigación reveló que, tras la declaración de culpabilidad de Zhao, más de 400 millones de dólares siguieron transfiriéndose a Binance desde Huione Group, una empresa con sede en Camboya a la que EE. UU. sancionó después de que el Departamento del Tesoro la considerara un "nodo crítico" para el blanqueo de capitales en estafas de "matanza de cerdos".
Binance asegura que cuenta con "sistemas de seguridad de vanguardia" que han evitado pérdidas por miles de millones en fraudes y que la compañía procesó más de 71.000 solicitudes de las fuerzas del orden en 2025.
Pero John Griffin, experto en finanzas y blockchain de la Universidad de Texas en Austin, no cree que los exchanges sean lo suficientemente seguros. “Aunque reciban toda esta prensa sobre ‘Oh, sí, hemos cambiado esto y aquello’ —bueno, los hechos lo demuestran. Los delincuentes siguen utilizando vuestro exchange”, me dijo Griffin sobre la industria en general. “Así que debe haber agujeros.” (Binance afirma que “objeta las dudosas conclusiones” del trabajo de Griffin, que rastrea el flujo de ganancias criminales a través de exchanges como Binance, Huobi, OKX y Tokenlon, calificándolo de “engañoso en el mejor de los casos y, en el peor, salvajemente impreciso.”)
Binance también señaló que algunos supuestos servicios de elusión son en sí mismos estafas, lo que siembra dudas sobre si las elusiones exitosas están tan extendidas como podría sugerir el mercado de Telegram. Interactuar con estos servicios “expone a los individuos a riesgos de seguridad significativos”, dijo un portavoz. “Incluso cuando el acceso parece haber sido concedido, las cuentas a menudo ya están restringidas por controles inte os de detección y cumplimiento, lo que las deja inoperativas para el comercio o las retiradas.”
Los reguladores de todo el mundo están intentando ponerse al día. En Tailandia, donde las cuentas bancarias de los ciudadanos sirven regularmente como mulas de dinero para ciberestafas con base en los países vecinos de Myanmar y Camboya, una nueva legislación ha mejorado la monitorización KYC, limitado las transacciones diarias y reforzado la capacidad de los organismos de supervisión para suspender cuentas. El regulador estadounidense contra el blanqueo de dinero, la Red de Lucha contra los Delitos Financieros (Financial Crimes Enforcement Network), emitió una advertencia contra los deepfakes KYC y el uso de VCams a finales de 2024, animando a las plataformas a rastrear patrones de transacciones más amplios para identificar el blanqueo de dinero.
Para los estafadores, cualquier nuevo requisito de seguridad o de información hará más difícil sortearlos, pero «no los va a detener», dice Ngo. «Es solo cuestión de tiempo».
Por: Fiona Kelliher.
Sitio Fuente: MIT Technology Review