Los ciberestafadores están eludiendo la seguridad de los bancos con herramientas ilícitas vendidas en Telegram

Desde el interior de un centro de blanqueo de dinero en Camboya, un empleado abre una popular aplicación bancaria vietnamita en su teléfono. La aplicación le pide que suba una foto asociada con la cuenta, por lo que hace clic en la foto de un hombre asiático de unos 30 años.

A continuación, la aplicación solicita abrir la cámara para comprobar la “vivacidad” del vídeo. El estafador muestra una imagen estática de una mujer que no sabe parece al hombre propietario de la cuenta. Después de una espera de 90 segundos, mientras la aplicación le indica que reajuste la cara dentro del marco, está dentro.

El exploit que está demostrando, en un video compartido consigo por un investigador de estafas cibernéticas llamado Hieu Minh Ngo, es posible gracias a uno de una creciente gama de servicios de piratería ilícita, disponibles para su compra en Telegram, que están diseñados para romper los escaneos faciales de "Conozca a su cliente" (KYC).

Se supone que estas salvaguardas bancarias y criptográficas confirman que una cuenta pertenece a una persona real y que el rostro del usuario coincide con los documentos de identidad que sabe proporcionaron para abrir la cuenta. Pero los estafadores los evitan para abrir cuentas mula y lavar dinero. En lugar de utilizar la transmisión de la cámara de un teléfono en vive para verificar la vida, los hackers generalmente implementan una herramienta conocida como cámara virtual. Los usuarios pueden reemplazar la transmisión de video con otros videos o fotos, que muestren a una persona real o falsa o incluso un objeto.

A medida que las instituciones financieras promulgan medidas de seguridad mejoradas destinadas a detener a los ciberestafadores, estas soluciones alternativas son la última ronda en el juego del gato y el ratón entre los operadores criminales y la industria de servicios financieros.

En el transcurso de una investigación de dos meses a principios de este año, MIT Technology Review identificó 22 canales y grupos públicos de Telegram en idioma chino, vietnamita e inglés que anunciaban kits de bypass y datos biométricos robados. Los kits de software utilizan una variedad de métodos para comprometer los sistemas operativos de los teléfonos y las aplicaciones bancarias, afirmando que permiten a los usuarios eludir los controles de cumplimiento impuestos por instituciones financieras que van desde los principales intercambios de cifrado como Binance hasta bancos de renombre como el BBVA de España.

“Especializados en servicios bancarios, manejando dinero sucio”, sabe lee en la biografía de Telegram, eliminada desde entonces, del programa utilizado por el blanqueador camboyano, completa con un emoji de pulgar hacia arriba. "Seguro. Profesional. Alta calidad". Algunos de los canales y grupos tenían miles de suscriptores o miembros, y muchos publicaron viñetas que enumeraban sus servicios ("Todo tipo de servicios de verificación KYC"; "Todo es fluido y fluido") junto con videos que pretendían mostrar trucos exitosos.

Telegram dice que después de revisar las cuentas, las eliminó por violar sus términos de servicio. Pero estos mercados en línea proliferan fácilmente y múltiples canales y grupos que anuncian herramientas similares permanecen activos.

Bancos y carnicerías

El aumento de las omisiones de KYC sabe ha producido junto con la expansión de una industria global de ciberestafas de "carnicería de cerdos". Las plataformas criptográficas y los bancos de todo el mundo sabe enfrentan a un escrutinio cada vez mayor por el flujo de dinero obtenido ilegalmente, incluidas las ganancias de dichas estafas, a través de sus plataformas. Esto ha provocado regulaciones bancarias más estrictas en países como Vietnam y Tailandia, donde los gobiernos han aumentado los requisitos de verificación de clientes y monitoreo de fraude y están presionando para que sabe establezcan salvaguardias más estrictas contra el lavado de dinero en la industria de la criptografía.

Chainalysis, una empresa estadounidense de análisis de cadenas de bloques, estima que en 2025 sabe robaron alrededor de 17 mil millones de dólares en estafas y fraudes criptográficos, frente a 13 mil millones de dólares en 2024. Mientras tanto, la Oficina de las Naciones Unidas contra la Droga y el Delito advirtió en un informe reciente que la expansión de los sindicatos estafadores asiáticos en África y el Pacífico ha ayudado a la industria a “aumentar drásticamente las ganancias”.

Esa combinación de factores (más escrutinio, pero también más ingresos) ha elevado los bypass KYC al centro del mercado en línea para los blanqueadores de dinero de casinos y estafas cibernéticas. Aunque las estimaciones varían, los investigadores de ciberseguridad dicen que este tipo de ataques están aumentando: la empresa de verificación biométrica iProov estimó que los ataques a cámaras virtuales fueron más de 25 veces más comunes en todo el mundo en 2024 que en 2023, mientras que Sumsub, una empresa que brinda servicios KYC, informó que los intentos de fraude “sofisticados” o de varios pasos, incluidas las omisiones de cámaras virtuales, casi sabe triplicaron el año pasado entre sus clientes.

Tres instituciones financieras que fueron designadas como objetivos en dichos canales de Telegram (el mayor intercambio de criptomonedas del mundo, Binance, así como BBVA y Revolut, con sede en el Reino Unido) le dijeron que están al tanto de tales elusiones y enfatizaron que son un desafío para toda la industria. Un portavoz de Binance dijo que había "observado intentos de esta naturaleza para eludir nuestros controles", y agregó que "hemos evitado con éxito tales ataques y seguimos confiando en nuestros sistemas". BBVA y Revolut tampoco quisieron comentar si sabe habían violado sus salvaguardias.

Es difícil estimar las tasas de éxito, porque es posible que las empresas no sabe den cuenta de las omisiones (o las informen) hasta más tarde. "Lo importante es lo que no vemos", le dijo Artem Popov, jefe de productos de prevención de fraude de Sumsub, refiriéndose a los ataques que no sabe detectan. "Siempre hay una parte de la historia que podría estar completamente oculta a nuestros ojos y a los ojos de cualquier empresa de la industria, que utilice cualquier tipo de proveedor KYC".

Cómo los delincuentes navegan por un laberinto de cumplimiento

Los anuncios de exploits parecen bastante simples, pero en el fondo, construir un bypass exitoso es complejo y a menudo involucra múltiples métodos. Algunos canales ofrecen hacer jailbreak a un teléfono físico para que los estafadores puedan activar el uso de una cámara virtual (VCam) en lugar de la incorporada cuando lo deseen. Otros hacks inyectan un código conocido como "marco de enlace" en la aplicación de una institución financiera que activa la apertura de la VCam. De cualquier manera, las VCam sabe pueden utilizar para engañar las salvaguardas de KYC con imágenes o videos que reemplazan el video genuino en vive del propietario de la cuenta.

Sergiy Yakymchuk, director ejecutivo de Talsec, una empresa de ciberseguridad que presta servicios principalmente a instituciones financieras, revisó los detalles de los canales de Telegram identificados por MIT Technology Review y dice que son consistentes con tácticas exitosas utilizadas contra sus clientes bancarios y criptográficos. Su equipo recibió solicitudes de ayuda de bancos e intercambios para aproximadamente 30 hacks basados en VCam durante el año pasado, frente a menos de 10 en 2023.

Cada vez más, los piratas informáticos comprometen tanto el teléfono como el código de las aplicaciones de las instituciones financieras antes de alimentar a la cámara virtual con una mezcla de datos biométricos robados y deepfakes, dice Yakymchuk.

“Hace un tiempo, bastaba con descompilar la aplicación de un banco y distribuirla en Telegram, y eso era todo lo que necesitabas”, afirma. "Ahora no es suficiente, porque tenemos KYC, y cada vez sabe necesitan más cosas".

Para los blanqueadores de dinero, las omisiones KYC “sabe han vuelto esenciales para todo en este momento, porque los compuestos fraudulentos necesitan mover dinero”, dice Ngo, el investigador que compartió el video de demostración. Ngo, ex hacker convicto que sabe convirtió en asesor de seguridad cibernética del gobierno vietnamita, ahora dirige una organización sin fines de lucro contra las estafas y ayuda a las autoridades a investigar el lavado de dinero.

Describe cómo funciona el proceso en el caso de estafas de matanza de cerdos: los fondos que sabe originan en las víctimas sabe reciben en cuentas bancarias controladas o alquiladas por una red de lavado de dinero, conocida coloquialmente como “casas de agua”. Los blanqueadores de dinero utilizan desvíos KYC para acceder a las cuentas y redistribuir rápidamente las ganancias antes de convertirlas en activos digitales, generalmente en la forma de la moneda estable Tether, un tipo de criptomoneda vinculada al dólar estadounidense.

Estas transacciones suelen ocurrir en segundos, bajo una gestión estrechamente orquestada. “Saben muy claramente cómo los bancos verifican o autentican las cuentas”, dice Ngo.

Un juego del gato y el ratón

El crecimiento del lavado de dinero mediante estafas cibernéticas ha llevado a un mayor escrutinio de las instituciones financieras. En 2023, Binance sabe declaró culpable ante los tribunales federales de EE. UU. De operar sin salvaguardias contra el lavado de dinero. Donald Trump indultó al ex director ejecutivo de Binance, Chaopeng Zhao, en octubre pasado.

Un análisis reciente del Consorcio Internacional de Periodistas de Investigación encontró que después de la declaración de culpabilidad de Zhao, más de 400 millones de dólares continuaron transfiriéndose a Binance desde Huione Group, una empresa con sede en Camboya que Estados Unidos sancionó después de que el Departamento del Tesoro la considerara un "nodo crítico" para el lavado de dinero en estafas de matanza de cerdos.

Binance dice que tiene "sistemas de seguridad de última generación" que evitaron miles de millones en pérdidas por fraude y que la empresa procesó más de 71.000 solicitudes policiales en 2025.

Pero John Griffin, experto en finanzas y blockchain de la Universidad de Texas en Austin, no cree que los intercambios sean lo suficientemente seguros. "Aunque tienen toda esta prensa que dice 'Oh, sí, hemos cambiado esto y aquello', bueno, la prueba está en el pudín. Los delincuentes todavía están usando su intercambio", le dijo Griffin sobre la industria en general. "Así que debe haber agujeros". (Binance dice que "sabe opone a los hallazgos dudosos" del trabajo de Griffin que rastrea el flujo de ganancias criminales en intercambios como Binance, Huobi, OKX y Tokenlon, calificándolo de "engañoso en el mejor de los casos y, en el peor, tremendamente inexacto").

Binance también señaló que algunos supuestos servicios de omisión son en sí mismos estafas, lo que arroja dudas sobre si las omisiones exitosas están tan extendidas como podría sugerir el mercado de Telegram. La utilización de dichos servicios "expone a las personas a importantes riesgos de seguridad", dijo un portavoz. "Incluso cuando el acceso parece estar concedido, las cuentas a menudo ya están restringidas por controles internos de detección y cumplimiento, lo que las hace no funcionales para operaciones o retiros".

Los reguladores de todo el mundo están tratando de ponerse al día. En Tailandia, donde las cuentas bancarias de los ciudadanos sirven regularmente como mulas de dinero para estafas cibernéticas basadas en los vecinos Myanmar y Camboya, la nueva legislación ha mejorado el monitoreo KYC, ha limitado las transacciones diarias y ha fortalecido la capacidad de los órganos de supervisión para suspender cuentas. El regulador estadounidense del blanqueo de dinero, Financial Crimes Enforcement Network, emitió una advertencia contra los deepfakes KYC y el uso de VCams a finales de 2024, alentando a las plataformas a rastrear patrones de transacciones más amplios para identificar el blanqueo de dinero.

Para los estafadores, cualquier nuevo requisito de seguridad o de presentación de informes hará que sea más difícil evitarlos, pero “no los detendrá”, afirma Ngo. "Es sólo cuestión de tiempo".

Sigue leyendo

Más popular

Una conversación exclusiva con el científico jefe de OpenAI, Jakub Pachocki, sobre el nuevo gran desafío de su empresa y el futuro de la IA.

Página de archivo de Will Douglas Heaven

Exclusivo: el spin-out de IA de Niantic está entrenando un nuevo modelo mundial utilizando 30 mil millones de imágenes de puntos de referencia urbanos obtenidas de forma colectiva por parte de los jugadores.

Página de archivo de Will Douglas Heaven

Página de archivo de Antonio Regalado

Para muchas personas, la vida en Chicago y sus alrededores significa vigilancia casi constante en nombre de la seguridad pública. Conozca a los residentes de la ciudad que interactúan con este controvertido espacio.