El camuflatge perfecte i la resposta intel·ligent.
En el complex tauler de la ciberseguretat actual, hi ha una amenaça que no necessita virus ni codis maliciosos per buidar els comptes d’una empresa: el Business Email Compromise (BEC). Aquest frau, basat en la suplantació d’identitat i la manipulació psicològica, ha evolucionat de simples correus amb faltes d’ortografia a sofisticades campanyes d’enginyeria social. Segons informes recents de 2025, les pèrdues globals per BEC continuen creixent, demostrant que el «tallafoc» humà continua sent vulnerable davant la urgència i l’autoritat simulada.
Les estimacions disponibles situen les pèrdues globals associades al Business Email Compromise (BEC) en diversos milers de milions de dòlars anuals, amb rangs que van des de desenes de milers de milions acumulats fins a més de 10–20 mil milions de dòlars per any, tot i que aquestes xifres varien notablement segons la font, el període analitzat i la metodologia emprada (per exemple, si s’inclouen només casos denunciats o també estimacions indirectes).
Tradicionalment, les defenses s’han centrat en filtres que busquen enllaços sospitosos o arxius infectats. Tanmateix, el modern «frau del CEO» sol ser tècnicament «net»: correus que semblen legítims, enviats des de comptes compromesos o des de dominis molt semblants als originals, i redactats amb un alt grau de versemblança gràcies a tècniques avançades d’enginyeria social. En aquests casos, els enfocaments convencionals basats únicament en la detecció de malware o enllaços maliciosos resulten insuficients, en no existir indicadors tècnics evidents d’engany.
Publicació EL PAÍS de setembre de 2024. https://l1nq.com/7cglP
Per afrontar aquest repte, s’investiguen i es desenvolupen enfocaments tecnològics complementaris. D’una banda, l’estilometria computacional, amb el suport de tècniques avançades de processament del llenguatge natural (NLP), permet analitzar patrons lingüístics recurrents i desviacions respecte a l’estil habitual d’un remitent. De l’altra, els sistemes d’IA basats en múltiples agents i anàlisi contextual busquen integrar senyals addicionals —com el context de la transacció o anomalies operatives— per donar suport a la detecció de fraus complexos. En conjunt, aquestes línies de recerca apunten a reforçar les capacitats defensives de les organitzacions davant d’atacs d’enginyeria social cada vegada més sofisticats.
La petjada dactilar de les paraules. Estilometria i NLP
Abans de veure com la IA «raona», convé entendre com pot «llegir» més enllà del que és evident. La base d’aquest enfocament és l’anàlisi estilomètrica amb el suport de tècniques de Processament del Llenguatge Natural (NLP).
Les persones tendeixen a mostrar patrons relativament consistents en la seva manera d’escriure, com l’ús de determinades paraules d’enllaç, una longitud mitjana de frase característica o preferències en signes de puntuació. L’estilometria és la disciplina que estudia i quantifica aquests trets lingüístics. En el context del BEC, els sistemes de NLP poden analitzar l’històric de correus d’un usuari legítim (per exemple, un director financer) per extreure patrons d’estil habituals.
A partir d’aquest històric, el sistema construeix un perfil estilístic aproximat de l’usuari: si sol emprar un to formal, determinades salutacions o estructures de frase més llargues o més breus. Quan arriba un correu nou, el text es pot comparar amb aquest perfil per identificar possibles desviacions. En escenaris de suplantació, com un missatge urgent que sol·licita una transferència, aquesta anàlisi pot revelar diferències subtils en la sintaxi o en el vocabulari respecte del patró habitual del suposat remitent. No obstant això, aquesta tecnologia té límits clars: els estils d’escriptura humans són variables i la IA generativa actual permet produir textos cada cop més coherents, fet que redueix la fiabilitat de l’estilometria com a senyal única i pot incrementar el risc de falsos positius si s’utilitza de manera aïllada.
La sinergia: quan la IA aprèn a investigar
Aquí és on entra la segona peça del trencaclosques, transformant una simple alerta en una investigació autònoma i intel·ligent.
Sistemes multiagent i raonament (Chain-of-Thought). Si el NLP és el «lector», els agents d’IA són els «detectius». Un agent d’IA no és un model passiu; és un sistema dissenyat per executar accions i prendre decisions seguint un procés de raonament lògic. Quan el mòdul d’estilometria detecta una anomalia subtil en un correu, activa l’agent. Aquest té capacitat per usar «eines»: pot consultar el calendari del directiu, verificar l’historial de factures o analitzar la geolocalització.
La combinació transformadora: un sistema que evoluciona. La veritable revolució d’aquest enfocament rau en la seva capacitat d’autooptimització. A diferència del programari de seguretat tradicional, que és estàtic i espera una actualització manual per reconèixer noves amenaces, aquests agents aprenen de l’experiència. Utilitzant arquitectures de memòria i aprenentatge per reforç, el sistema avalua els seus propis encerts i errors.
Si un agent detecta un atac complex o, al contrari, comet un error (un fals positiu) i és corregit per un operador humà, el sistema reconfigura els seus paràmetres interns immediatament. Això significa que la defensa evoluciona de manera orgànica: l’agent esdevé més «astut» amb cada interacció, adaptant les seves estratègies de cerca i verificació a la mateixa velocitat vertiginosa amb què els ciberdelinqüents modifiquen les seves tècniques d’engany. Ja no és només un mur; és un sistema immunitari digital que madura.
L’incident «Alpine Business»
Per il·lustrar aquesta tecnologia, analitzem un cas d’estudi, de laboratori, derivat de recerques recents a l’Escola Politècnica Federal de Lausana (EPFL) sobre sistemes multiagent. Una empleada de finances, «Sophie», rep un correu de la seva suposada CEO, «Clara», un divendres a la tarda. L’assumpte: «Adquisició confidencial». El cos del missatge exigeix una transferència immediata de 150.000 CHF a un compte nou per tancar un tracte secret, advertint que no se n’ha de parlar amb ningú per motius regulatoris. És un atac BEC de manual.
Imatge de les instal·lacions de l’EPFL a Lausana, Suïssa.
Detecció inicial (NLP): l’anàlisi estilomètrica observa que el correu fa servir un to lleugerament més imperatiu de l’habitual en Clara i una estructura de comiat atípica. Es genera una alerta de nivell mitjà.
-
Investigació de l’agent: el sistema multiagent s’activa.
- Pas 1: l’agent consulta el calendari corporatiu de Clara. Resultat: no hi ha viatges ni reunions de fusions programades; Clara és a l’oficina.
- Pas 2: l’agent verifica l’IBAN de destinació. Resultat: és la primera vegada que apareix aquest compte i no coincideix amb la llista de proveïdors aprovats.
- Pas 3: l’agent analitza la semàntica d’«urgència i secret». Ho reconeix com un patró de persuasió coercitiva comú en fraus.
-
Resultat: el sistema combina l’anomalia lingüística amb la inconsistència factual. Bloqueja el correu i envia una alerta de seguretat explicada: «Possible suplantació: estil inusual + sol·licitud financera anòmala + inconsistència d’ubicació».
Lliçó: un filtre tradicional hauria deixat passar el correu perquè no contenia malware. Un sistema només de NLP podria haver dubtat. La combinació va salvar l’empresa d’una pèrdua milionària.
Una necessitat en l’ecosistema europeu
La tecnologia descrita no pertany a la ciència-ficció, sinó que respon a desafiaments reals del panorama actual de la ciberseguretat, especialment en regions com Europa, on l’enginyeria social s’ha consolidat com una de les principals amenaces.
L’informe d’amenaces d’ENISA 2024-2025 assenyala que el phishing i altres formes d’enginyeria social continuen sent un dels vectors d’entrada més freqüents per als ciberatacs a la Unió Europea. Les PIME espanyoles i europees figuren entre els col·lectius més afectats, en part perquè participen en cadenes de subministrament i operacions transfrontereres, i sovint disposen de recursos limitats en comparació amb les grans organitzacions, cosa que dificulta mantenir capacitats de vigilància i resposta contínues.
A més, s’observa una tendència creixent a l’ús d’eines basades en IA tant en activitats ofensives com defensives. Diversos informes documenten que els atacants utilitzen tecnologies automatitzades per generar correus de phishing més ben redactats i adaptats a diferents idiomes, i hi ha casos documentats de l’ús de tècniques de suplantació de veu en fraus telefònics. En aquest context, els enfocaments defensius basats únicament en regles estàtiques resulten insuficients per si sols. Paral·lelament, grups de recerca i empreses de ciberseguretat a Europa exploren l’ús de tècniques avançades d’IA i automatització adaptativa per millorar la detecció i la resposta davant de noves variants d’atac. Així mateix, l’adopció de protocols consolidats d’autenticació de correu, com DMARC, juntament amb la incorporació progressiva de capacitats d’anàlisi avançada, es perfila com una pràctica cada vegada més estesa en sectors regulats com la banca i en l’àmbit corporatiu en general.
Cap a una defensa proactiva i contextual
La batalla contra el frau BEC ha canviat de terreny. Ja no es tracta només de protegir els servidors, sinó de protegir la confiança en les comunicacions humanes. La combinació de l’anàlisi estilomètrica, que detecta la falsificació de la identitat en la forma, amb els agents de raonament, que detecten la falsedat en els fets, representa el salt qualitatiu necessari per frenar aquesta sagnia econòmica.
L’impacte d’adoptar aquestes solucions va més enllà de l’estalvi financer directe. Preserva la reputació de les empreses i redueix la càrrega cognitiva dels empleats, que avui viuen amb la por constant de fer clic al lloc equivocat. La tecnologia està preparada per ser aquest «copilot» de seguretat que valida les nostres interaccions digitals.
No podem demanar als empleats que siguin infal·libles davant atacants que utilitzen intel·ligència artificial per enganyar-los. És hora d’equipar els nostres equips amb la seva pròpia intel·ligència artificial defensiva, una que no només llegeixi correus, sinó que entengui la realitat que els envolta.
