Durante años el nombre de Brett Johnson fue sinónimo de ciberdelincuencia a gran escala. Hoy, el mismo hombre que llegó a liderar una de las comunidades criminales más influyentes de internet advierte de algo que debería inquietar tanto a ciudadanos como a empresas: la mayor amenaza de la red ya no es el humano aislado delante de un teclado, sino los sistemas de inteligencia artificial puestos al servicio del fraude.
Johnson no habla desde la teoría. En los años 2000 fue el cerebro detrás de ShadowCrew, un foro que muchos consideran precursor de la actual Dark Web. Por allí pasaron miles de ciberdelincuentes especializados en robo de identidades, tarjetas de crédito y explotación de vulnerabilidades. El propio Johnson llegó a ganar más de 100.000 dólares al mes con sus esquemas, y en sus mejores momentos superó los 500.000 dólares mensuales vendiendo datos robados y cometiendo fraude fiscal.
Tras varias detenciones, una condena a prisión federal y una larga colaboración con las fuerzas de seguridad estadounidenses, su historia dio un giro. Hoy trabaja como consultor y formador en ciberseguridad y colabora con organismos como el Servicio Secreto de EE. UU., alertando precisamente de cómo está cambiando el delito online. Y su diagnóstico es claro: la próxima gran ola de cibercrimen será masiva, escalable y estará impulsada por IA.
De los foros clandestinos a las granjas de estafa “industriales”
Cuando Johnson empezó, el cibercrimen era mucho más artesanal. Pequeños grupos, compartiendo trucos en foros semiclandestinos, organizaban ataques relativamente simples: phishing básico, troyanos bancarios, clonación de tarjetas.
Hoy el panorama es otro. Según explica el propio Johnson, el delito digital se ha “empresarializado”. En lugar de individuos sueltos, proliferan las llamadas “granjas de estafas”: edificios llenos de personas —muchas veces víctimas de trata o de deudas— obligadas a trabajar por turnos enviando mensajes, manteniendo chats y sosteniendo durante semanas o meses el engaño a cada víctima.
Esas estructuras se especializan en esquemas como el llamado “descuartizamiento de cerdos” (pig butchering): relaciones falsas a largo plazo en las que el estafador se gana la confianza de la víctima para, poco a poco, convencerla de invertir sus ahorros en criptomonedas o plataformas inexistentes. Casos documentados muestran cómo personas han perdido el salario de todo un año y se han visto obligadas a emigrar para rehacer su vida tras caer en estas redes.
La diferencia respecto a los tiempos de ShadowCrew es la escala y la profesionalización. Donde antes había foros y coordinación informal, ahora hay estructuras casi corporativas, con supervisores, objetivos de “ventas” y guiones optimizados… cada vez más apoyados en herramientas de inteligencia artificial.
Deepfakes: cuando ya no se puede confiar en lo que vemos u oímos
La primera gran amenaza emergente que Johnson sitúa en el centro del debate son los deepfakes. La combinación de modelos generativos de vídeo y audio permite recrear el rostro y la voz de una persona con un grado de realismo que hace unos años habría parecido ciencia ficción.
Los delincuentes ya utilizan estas técnicas para falsificar mensajes de voz, videollamadas y reuniones enteras. Uno de los casos más llamativos fue el de un empleado de finanzas que autorizó transferencias por más de 25 millones de dólares tras participar en una videoconferencia en la que todos los “compañeros” —incluido el director financiero— eran recreaciones deepfake controladas por los atacantes.
Para Johnson, el problema no es solo el engaño puntual, sino el impacto sistémico: “llegaremos a un punto en el que no podremos confiar en nada de lo que vemos u oímos en internet”. Y en un entorno donde la confianza visual y sonora se erosiona, la ventaja se decanta claramente del lado del ciberdelincuente.
La IA, además, acelera todo el proceso: imita patrones de habla, genera respuestas contextuales en tiempo real y adapta el discurso a la psicología de la víctima. Lo que antes requería horas de preparación, hoy se puede automatizar y escalar.
Identidades sintéticas: “personas” que no existen, pero abren cuentas y piden créditos
La segunda gran preocupación de Johnson es menos visible, pero potencialmente todavía más destructiva: las identidades sintéticas.
No se trata simplemente de robar los datos de una persona real, sino de crear una nueva identidad digital combinando datos verdaderos (como un número de documento o de la Seguridad Social) con otros inventados: nombre, dirección, teléfono, historial. Sobre ese “personaje” se construye un perfil financiero desde cero.
Una vez que esa identidad falsa consigue abrir cuentas, obtener tarjetas de crédito o pequeños préstamos, resulta extremadamente difícil de detectar. No hay una víctima clara que se dé cuenta rápidamente, porque la persona “no existe”. Los bancos a menudo descubren el fraude cuando las cuentas se vacían y ya es tarde.
Johnson califica el fraude con identidades sintéticas como la forma número uno de robo de identidad en el mundo. Datos citados habitualmente en el sector apuntan a que este tipo de fraude representa alrededor del 80 % de las estafas en cuentas nuevas y una parte significativa de las pérdidas por tarjetas de crédito.
En este terreno, la IA facilita generar documentos falsos verosímiles, construir historiales coherentes y hasta dotar a estas “personas virtuales” de presencia en redes sociales, reforzando su credibilidad ante sistemas automáticos de verificación.
IA al alcance de cualquiera: del tutorial al delito rentable en horas
La tercera pata del fenómeno que describe Brett Johnson es la democratización de las herramientas de ataque. Hoy, un ciberdelincuente novato no necesita entender los detalles técnicos de un exploit o de un sistema financiero. Puede:
- Comprar tutoriales completos sobre cómo montar estafas.
- Pagar por clases en directo en foros clandestinos.
- Adquirir paquetes de malware “llave en mano”.
- Apoyarse en modelos de IA para escribir correos de phishing, traducirlos a varios idiomas, pulir el discurso y mantener conversaciones creíbles con decenas de víctimas en paralelo.
El resultado es que la barrera de entrada al cibercrimen baja mientras el potencial de daño se multiplica. Johnson insiste en que el fraude es “más fácil que nunca”, especialmente ahora que la IA genera contenido convincente en cuestión de segundos.
¿Cómo pueden protegerse ciudadanos y empresas?
Frente a este panorama, el exhacker convertido en experto en ciberseguridad insiste en algo que puede parecer básico, pero sigue siendo clave: volver a la higiene digital fundamental.
Entre las medidas que recomienda se encuentran:
- Practicar una conciencia situacional digital: asumir que en cualquier plataforma abierta puede haber depredadores, por más “profesional” o cuidada que parezca.
- Congelar el crédito de todos los miembros del hogar allí donde sea posible, para impedir la apertura de cuentas nuevas sin consentimiento.
- Activar alertas en cuentas bancarias y tarjetas, de modo que cualquier movimiento se notifique de inmediato.
- Utilizar contraseñas únicas y robustas para cada servicio, idealmente gestionadas con un gestor de contraseñas.
- Activar autenticación multifactor (MFA), especialmente en servicios financieros, correo electrónico y redes sociales.
- Limitar la información personal que se comparte públicamente: fechas de nacimiento completas, apellidos de soltera, nombres de mascotas y otros datos que aún se utilizan como preguntas de seguridad.
A nivel empresarial, Johnson subraya la necesidad de formar a empleados en la detección de deepfakes, establecer protocolos claros de verificación fuera de banda (por ejemplo, llamadas telefónicas a números ya registrados antes de autorizar grandes transferencias) y reforzar los sistemas de detección de anomalías en cuentas nuevas para combatir el fraude con identidades sintéticas.
Su mensaje de fondo es incómodo, pero necesario: la IA no es solo una herramienta para mejorar la productividad o crear imágenes sorprendentes. También es, cada vez más, el motor silencioso de una industria del fraude que se profesionaliza, se automatiza y se globaliza a gran velocidad.
Preguntas frecuentes sobre Brett Johnson y las nuevas amenazas de fraude impulsadas por IA
¿Quién es Brett Johnson y por qué su opinión pesa tanto en ciberseguridad?
Brett Johnson fue uno de los ciberdelincuentes más buscados de Estados Unidos, fundador y administrador de ShadowCrew, un foro clave en los orígenes de la Dark Web. Durante más de una década se dedicó al robo de identidades y a la venta de tarjetas de crédito robadas, amasando millones de dólares. Tras cumplir condena y colaborar con las autoridades, se ha convertido en consultor y ponente en ciberseguridad, lo que le otorga una perspectiva privilegiada sobre cómo piensan y operan los delincuentes.
¿Qué es exactamente un deepfake y por qué es tan peligroso para empresas y particulares?
Un deepfake es un contenido sintético (vídeo, audio o imagen) generado con inteligencia artificial que imita la apariencia o la voz de una persona real con gran realismo. Los delincuentes pueden usarlo para hacerse pasar por un directivo en una videollamada, por un familiar pidiendo dinero urgente o por un empleado de confianza. El peligro reside en que rompe el vínculo entre lo que vemos/escuchamos y la realidad, facilitando fraudes como transferencias millonarias o la filtración de información sensible.
¿Qué es una identidad sintética en el contexto del fraude financiero?
La identidad sintética es una “persona digital” creada mezclando datos reales (como un número de documento o de la Seguridad Social) con datos inventados (nombre, dirección, teléfono, historial). Esta identidad inexistente puede solicitar tarjetas de crédito, abrir cuentas bancarias o pedir préstamos. Como no hay una víctima clara que detecte de inmediato el fraude, muchas entidades financieras tardan en darse cuenta, lo que convierte al fraude sintético en una de las formas más lucrativas y difíciles de detectar.
¿Qué pueden hacer ciudadanos y empresas para protegerse de las estafas impulsadas por IA?
La clave está en combinar medidas técnicas y hábitos prudentes: usar autenticación multifactor, gestores de contraseñas, alertas en cuentas bancarias y congelación de crédito cuando sea posible; verificar siempre por un canal independiente cualquier solicitud inusual de dinero o datos, incluso si parece venir de alguien conocido; formar a empleados y familias en la detección de señales de fraude; y desconfiar de mensajes o llamadas que generen urgencia extrema o presión emocional. La educación continua es tan importante como las herramientas tecnológicas.
Fuentes consultadas: declaraciones y trayectoria de Brett Johnson recopiladas por Business insider y otros medios, así como datos públicos sobre la evolución del fraude con identidades sintéticas y el uso de deepfakes en estafas financieras.
