En Brasil, la inteligencia artificial (IA) se ha convertido en una herramienta clave de los grupos criminales para ejecutar fraudes financieros cada vez más complejos, mientras bancos, legisladores y fuerzas de seguridad se esfuerzan por seguirles el ritmo.
En momentos en que el crimen callejero disminuye y la tasa de homicidios alcanza su nivel más bajo en una década en Brasil, las pérdidas por ciberdelitos alcanzaron cerca de los US$54.000 millones en 2024 —esto representaría, según Global Anti-Scam Alliance, unos US$1.000 por víctima aproximadamente—.
VEA TAMBIÉN: Operación en Brasil demuestra la digitalización del crimen organizado
La conectividad está alimentando este auge. Con el 86% de los brasileños conectados a internet, alrededor de 217 millones de líneas de teléfono inteligente, el 75% de las transacciones bancarias realizadas en dispositivos móviles y más del 70% inscritos en Gov.br —la plataforma nacional de identificación digital—, el país se ha convertido en una mina de oro para los cibercriminales.
InSight Crime desarrolla, a continuación, tres casos recientes que muestran cómo la amplia conectividad de Brasil y las herramientas de IA permiten a los cibercriminales operar esquemas cada vez más sofisticados y lucrativos.
VEA TAMBIÉN: Cuatro formas en que la IA está transformando el crimen organizado en América Latina
Conductores fantasmas en Río
En agosto de 2025, la policía de Río de Janeiro desmanteló una red de fraude detrás de casi 2.000 viajes falsos en Uber. El grupo utilizaba imágenes generadas por IA para evadir las verificaciones de identidad y crear decenas de cuentas falsas de conductores y pasajeros, sorteando los sistemas de seguridad de Uber.
Una vez activadas las cuentas, los criminales reservaban manualmente viajes largos con paradas adicionales para inflar las tarifas. El “pasajero fantasma” cancelaba la cuenta antes de que se procesara el pago, dejando a Uber a cargo de pagar a los “conductores”. Los fondos robados luego se canalizaban a través de Pix, el sistema de pagos instantáneos usado por más de 182 millones de brasileños, y se dispersaban rápidamente en múltiples cuentas para evadir la detección, al menos al inicio.
Pix procesa más de 6.000 millones de transacciones al mes —superando las tarjetas de crédito y débito combinadas—. Su rapidez permite a los criminales mover fondos antes de que bancos o investigadores puedan reaccionar, lo que hace casi imposible recuperar los activos.
Uber finalmente descubrió el esquema. La empresa dijo a InSight Crime que su equipo antifraude detectó la actividad, alertó a las autoridades y coopera actualmente con la policía de Río. Guilherme Gueiros, abogado penalista especializado en ciberdelitos, afirmó que las autoridades brasileñas tenían pocas opciones sin la cooperación de Uber. “Es responsabilidad de empresas como Uber, que deben ser conscientes de cómo se pueden manipular sus plataformas… [solo ellas tienen] la capacidad de detectar y prevenir este tipo de fraudes”, señaló.
La magnitud de la operación se hizo evidente después de que la policía de Río lanzara su investigación, que inicialmente detectó US$21.240 en ganancias ilícitas. Una reconstrucción completa de las transacciones reveló luego que un solo sospechoso había movido US$136.000 en apenas cuatro meses.
VEA TAMBIÉN: El Comando Rojo de Brasil convirtió el control territorial en un monopolio de transporte privado
Médicos con identidades digitales falsas
El fraude en plataformas de transporte es apenas una faceta de una transformación más profunda. Grupos criminales en Brasil también están utilizando imágenes falsas generadas por IA para crear identidades y evadir controles biométricos en sistemas bancarios y gubernamentales, lo que facilita grandes robos digitales.
La amenaza salió en titulares de los medios en agosto de 2025, cuando las autoridades desmantelaron una pequeña pero sofisticada red que operaba en San Pablo, Espíritu Santo y Pará. Entre los arrestados estaban un hombre de 44 años en San Pablo con antecedentes por fraude que falsificaba documentos y movía fondos robados; un joven de 20 años en Pará que recolectaba datos sensibles con bots de WhatsApp; y un falsificador de documentos de 29 años en Espíritu Santo.
El grupo apuntaba a médicos de Río Grande del Sur. Tras vulnerar sus cuentas en Gov.br, reclutaban dobles para las fotos y usaban IA para alterar digitalmente las imágenes, creando identificaciones falsas capaces de burlar los sistemas de reconocimiento facial.
VEA TAMBIÉN: Grupos de estafadores usan inteligencia artificial para perfeccionar sus fraudes en Perú
Las identificaciones se usaban luego para abrir cuentas de gran volumen, a menudo corporativas, y lavar fondos robados, transfiriendo discretamente pequeñas sumas por múltiples cuentas y a través de Pix para evadir la detección.
La débil regulación bancaria digital, las normas poco rigurosas de Conozca a su Cliente (Know Your Customer, KYC) y contra el lavado de dinero en Brasil, sumadas a los lentos procesos judiciales para acceder a datos financieros, permitieron a los criminales mover dinero en pocas horas mientras los investigadores tardaban meses en rastrearlo, dijo Gueiros a InSight Crime.
Estas fallas sistémicas provocaron pérdidas inmediatas a las víctimas: los investigadores confirmaron que los criminales intentaron desviar alrededor de US$130.000. El esquema solo salió a la luz cuando un médico denunció que su cuenta de Gov.br había sido hackeada.
Phishing 2.0
Aunque el fraude con identidades falsas está en aumento en Brasil, el phishing (suplantación de identidad digital) sigue siendo el método principal que utilizan los cibercriminales para acceder a cuentas y dispositivos. Es una de las tácticas de fraude digital más antiguas —que se remonta a mediados de los noventa— y consiste en enviar mensajes engañosos por correo electrónico, texto u otros canales con enlaces o archivos maliciosos. Haciéndose pasar por entidades de confianza, los criminales inducen a las víctimas a instalar malware que roba datos personales o financieros. A menudo, es el primer paso de un ciberataque mayor.
La IA ha potenciado el phishing, creando sitios web falsos más convincentes, automatizando su distribución masiva, acelerando los cambios de contenido y manipulando resultados de búsqueda, lo que desborda los esfuerzos tradicionales de bloqueo.
Un grupo brasileño conocido como “PINEAPPLE” ha usado IA para amplificar campañas de phishing. Aprovechando plataformas en la nube y técnicas de suplantación asistidas por IA, el grupo creó clones convincentes de sitios oficiales. En 2024, imitó a la autoridad tributaria de Brasil, dirigiendo a las víctimas a un portal falso que descargaba malware y recolectaba datos personales cuando intentaban bajar formularios de impuestos.
VEA TAMBIÉN: Una amenaza global de malware creada en Brasil
En 2025, un grupo no identificado pasó a ataques de phishing completamente impulsados por IA, usando herramientas generativas como DeepSite AI y BlackBox AI para crear sitios hiperrealistas de la Secretaría de Tránsito y del Ministerio de Educación de Brasil. Manipularon técnicas de optimización en motores de búsqueda (SEO) para que los sitios maliciosos aparecieran en los primeros lugares de las búsquedas.
Las víctimas fueron inducidas a entregar datos personales, incluyendo su número de Registro de Contribuyentes Individuales (Cadastro de Pessoas Físicas, CPF), y a pagar “tasas” de unos US$16 vía Pix. Aunque las pérdidas individuales eran pequeñas, la campaña apuntó a unas 10.000 personas, lo que pudo haber generado US$160.000 en ganancias ilícitas. Más allá del dinero, el fraude comprometió sistemas sensibles del gobierno y del sector bancario.
Hasta ahora no se han reportado arrestos, lo que muestra la rapidez con que el fraude digital impulsado por IA supera a las agencias de ciberdelito en Brasil. De hecho, fueron analistas de Zscaler ThreatLabz, con sede en Estados Unidos, quienes detectaron el esquema, y no funcionarios brasileños.
La IA mejora el phishing al facilitar la ingeniería social —engañar a las personas para que revelen información sensible—, explica Gueiros. “La IA se usa principalmente para engañar a la gente, para hacerles creer que algo es real cuando no lo es”, señaló, lo que permite a los criminales recolectar datos y empujar a las víctimas a tomar decisiones riesgosas. Es más rápido y barato que vulnerar sistemas.
Pero las herramientas de IA no son el problema central: el phishing sigue explotando las vulnerabilidades humanas. Capacitar a las autoridades en nuevas tácticas de ciberdelito puede ayudar a las investigaciones, dijo Gueiros, pero “prevenir el fraude depende, en última instancia, de mejorar la alfabetización digital y educar al público para reconocer y resistir estas estafas”.
Imagen principal: Fotografías de rostros falsos producidos con IA de médicos, basados en dobles reclutados por grupos criminales en Río Grande del Sur. Crédito: RBS TV.



