Guía del fraude de identidad sintética: prevención y soluciones

Es probable que tu empresa ya cuente con un proceso de verificación KYC diseñado para confirmar la identidad de los usuarios. ¿El problema? ¿Cómo funciona si las identidades son de personas reales, pero con malas intenciones?

Esto es precisamente lo que hace que la lucha contra el fraude de identidad sintética sea tan difícil. No basta con mirar los documentos. También hay que adivinar la intención. 

Por suerte, esto no es tan difícil como parece con las herramientas de gestión de riesgos adecuadas, incluso cuando hubo 14 Millones de identificaciones robadas reportadas solo en 2019.  Vamos a desglosarlo a continuación.

¿Qué es una identidad sintética?

Una identidad sintética se compone de información real y falsa. También puede estar formada por información personal identificable (IPI) de varias personas. Por ejemplo, utilizando un número de la seguridad social real de una persona y combinándolo con los datos de la tarjeta de crédito de otra. 

Tipos de identidad sintética

Las identificaciones sintéticas pueden ser:

• Manipuladas: combinando documentos de usuario reales y datos falsos, inventados.
• Mezcladas: utilizando información real de múltiples fuentes.
• Fabricadas: por ejemplo, un número de seguridad social aleatorizado para que entre en el rango correcto.

Características principales de una identidad sintética

Una identidad sintética siempre está construida a partir de varias fuentes de datos. Sin embargo, puede utilizarse para: eludir las verificaciones KYC, crear puntuaciones de crédito más sólidas o, simplemente, no ser detectado por un sistema de gestión de fraude.

¿Qué es el fraude de identidad sintética?

El fraude de identidad sintética incluye cualquier tipo de actividad delictiva que utilice una combinación de identificaciones falsas y datos de usuarios reales. Incluye la incorporación, la evasión de las verificaciones KYC o la creación de una dirección falsa para procesar una transacción fraudulenta. El fraude de identidad sintética puede ser más difícil de detectar que el fraude de identidad estándar porque contiene los documentos de identidad reales de alguien. Estos pueden ayudar a pasar el proceso de verificación de «Conoce a Tu Cliente», mientras que los perfiles obviamente falsos son fácilmente señalados.

Según la Reserva Federal de los Estados Unidos, el fraude de identidad sintética fue el tipo de fraude de más rápido crecimiento en EE. UU en 2019, y el 85-95% de todos los casos de fraude de identidad sintética no fueron marcados por los sistemas de seguridad. Según la misma investigación, es un problema particular en EE. UU debido a la dependencia del país de la información estática de identificación personal (PII), incluidos los Números de Seguridad Social (SSN).

Sin embargo, el fraude de identidad sintética afecta a cualquier tipo de empresa que intente controlar las cuentas de sus usuarios. Por ejemplo, los estafadores obtendrán identificaciones de mercado robadas para crear una cuenta en un banco y pagar diligentemente sus facturas durante años. Al cabo de un tiempo, pueden pedir que se eleven los límites.

Cuando los límites se elevan lo suficiente, superan el límite de su tarjeta de crédito, hacen una «fuga» y simplemente desaparecen. Cuando los bancos intentan recuperar su dinero, se dan cuenta de que la persona no existe.

.

¿Cómo funciona el fraude de identidad sintética?

El fraude de identidad sintética funciona cuando los estafadores crean identificaciones sintéticas para eludir las verificaciones KYC al crear una cuenta. He aquí un ejemplo de cómo se puede utilizar una identidad sintética con fines fraudulentos con un banco:

1. El defraudador adquiere información personal + identificaciones falsas
2. Utiliza parte de ella para solicitar una tarjeta de crédito
3. Piden dinero prestado y lo devuelven con diligencia durante años
4. Cuando se eleva el límite, se lleva la tarjeta al máximo y desaparece
5. El banco intenta cobrar su dinero… y no hay nadie.

¿Cuánto le cuesta a las empresas?

Según el informe Future of Fraud Forecast de 2021, Experian informa de que el fraude de identidad sintética o robo de identidad sintética es el tipo de delito financiero de más rápido crecimiento. Según la propia definición de Experian, representa el 80% de las pérdidas por fraude con tarjetas de crédito y casi el 20% de las devoluciones de cargos.

¿Cómo prevenir el fraude de identidad sintética?

Tradicionalmente, una forma eficaz de identificar un documento de identidad falso o robado en el contexto del fraude de identidad sintética era confiar en las herramientas OSINT. La OSINT, o inteligencia de fuente abierta, es un conjunto de procesos que busca datos disponibles públicamente y los cruzan con el perfil sospechoso.

¿El problema? Que requiere mucho tiempo y recursos. Si se utilizan bases de datos profesionales de Experian, Pipl o páginas blancas, también puede ser un método costoso. 

Por último, pero no por ello menos importante, este tipo de gestión de riesgos requiere especialistas con ojos de lince, con una formación y educación adecuadas. 

Entonces, ¿cómo identificar a los adeptos a evadir la detección del fraude de identidad sintética, y a escala? Con la tecnología adecuada.

¿Cómo detectar el fraude de identidad sintética?

Seamos claros: no existe una fórmula mágica para detectar el fraude de identidad sintética. Necesitarás un enfoque de varios niveles, que idealmente combine todas las tecnologías que se mencionan a continuación. Pero vamos a desglosarlas una por una:

1 Huella digital de los dispositivos

Si los estafadores tienen éxito, tienden a atacar a las mismas empresas varias veces. El reto para ellos no es crear cientos o miles de identidades sintéticas. Es hacer que parezca que todos se conectan a tu sitio como usuarios únicos.

Por eso es tan eficaz un módulo de huella digital de dispositivos. Puedes marcar instantáneamente las conexiones de los usuarios que apuntan a:

• Uso de proxy
• Conexiones Tor
• Uso de VPN
• Configuraciones extrañas del navegador
• Configuración de hardware sospechosa
• Emuladores

La clave aquí no es solo centrar tu atención en configuraciones extrañas de software y hardware, sino también destacar las conexiones entre usuarios.

Al registrar la configuración de cada dispositivo como un identificador único, puedes notar patrones que podrían apuntar al uso de bots, o a la repetición de ataques de las mismas organizaciones fraudulentas.

2 Búsqueda inversa en redes sociales

¿Una técnica interesante para detectar el fraude de identidad sintética? Examinar su huella digital del navegador. Esto incluye el análisis del correo electrónico y del número de teléfono, para ver si sus datos parecen legítimos, pero una de las técnicas más eficaces es, sin duda, la búsqueda en las redes sociales.

Puedes realizar una búsqueda inversa de la dirección de correo electrónico o del número de teléfono, y ver si se han utilizado para registrarse en plataformas de redes sociales. Lee una comparación de las mejores herramientas de búsqueda de correo electrónico aquí.

Esto tiene tres beneficios clave:

• Puedes utilizar sus perfiles en las redes sociales para confirmar su identidad.
• La ausencia de información en las redes sociales puede apuntar a un fraude.
• El tipo de redes sociales a las que están suscritos los usuarios también puede ayudar a la puntuación de crédito.

Porque SEON puede comprobar más de 20 redes sociales y un número creciente de plataformas en los mercados emergentes.

3 Análisis del comportamiento mediante reglas de velocidad

Por último, pero no menos importante: no se trata solo de mirar los puntos de datos, sino de entender el comportamiento de los usuarios. Esto es particularmente importante para los ataques más sofisticados, y los perpetrados por mulas de dinero que utilizan sus identificaciones reales todo el tiempo.

En términos de gestión del fraude, esto se examina mediante reglas personalizadas y reglas de velocidad. Se trata de reglas que no son necesariamente complejas, pero que pueden analizar una amplia variedad de puntos de datos, incluidos los plazos. 

He aquí algunos ejemplos:

• ¿Con qué rapidez ha pasado el usuario por todo el proceso KYC?
• ¿Y la etapa de autentificación del usuario?
• ¿Introdujo un número de la seguridad social con una sola pulsación?
• ¿Cuántas veces ha aparecido una configuración de navegador/hardware similar en los últimos 10 días?
• ¿Con qué frecuencia solicita aumentar su límite de crédito?

Por supuesto, el cielo es el límite con el tipo de datos que quieras examinar. Pero la clave aquí es que puedes identificar comportamientos sospechosos, incluso de los estafadores que ya han conseguido infiltrarse en tu plataforma.

Un sistema de machine learning whitebox, por ejemplo, es especialmente hábil a la hora de detectar comportamientos coincidentes de los estafadores que han superado la fase de KYC. Si eres coherente en tus informes y utilizas suficientes mecanismos de retroalimentación, puedes empezar a entender los patrones de comportamiento que pueden apuntar al fraude más encubierto y sofisticado.

Fraude de identidad sintética vs. fraude de identidad tradicional

El fraude de identidad tradicional se perpetra en tiempo real. El envío de correos electrónicos de suplantación de identidad a partir del robo de una cuenta, por ejemplo, constituye un ejemplo de fraude de identidad directo. El fraude de identidad sintética, sin embargo, tiende a ser cultivado a lo largo del tiempo por delincuentes más sofisticados.

Su objetivo es pasar desapercibido el mayor tiempo posible, ya que quieren crear una nueva cuenta y utilizarla a largo plazo. Esto es importante porque pone de manifiesto un reto clave en la lucha contra este tipo de fraude.

Los delincuentes que recurren a estas técnicas son pacientes, calculadores y sofisticados. También suelen estar organizados, lo que podemos utilizar en su contra y en beneficio nuestro. 

¿Qué tipo de datos robados se utiliza?

El robo de identidad y el fraude van de la mano. Los delincuentes no se detendrán ante nada para adquirir registros que les ayuden a crear perfiles falsos. Esto incluye el robo de:

• Información relacionada con los impuestos: especialmente en EE. UU, la información fiscal del IRS puede utilizarse para recuperar datos personales adicionales.
• Robo de identidad médica: la información médica también se utiliza a menudo para solicitar medicamentos con receta o para presentar reclamos al seguro con el nombre de otra persona.
• Robo de identidad de niños: prueba de que los estafadores caerán tan bajo como puedan, los registros de los niños se utilizan a menudo para solicitar tarjetas de crédito o préstamos en línea. Esto funciona porque sus puntuaciones de crédito son neutras o inexistentes, y pasarán muchos años antes de que alguien se dé cuenta de que la información ha sido comprometida.

¿Cuál es la causa del aumento del fraude de identidad sintética?

Este tipo de fraude va en aumento porque los estafadores tienen acceso a un número cada vez mayor de opciones para acceder.

Las filtraciones de datos significan que los documentos de identidad son más fáciles de obtener

Obtener documentos de identidad es un juego de niños para los estafadores. Pueden entrar en la dark web y comprar enormes listas de bases de datos filtradas, a precios sorprendentemente competitivos.

Aunque una filtración de datos de correo electrónico puede ser útil para la verificación de la identidad, es más probable que la información provoque un círculo vicioso de tomas de posesión de cuentas, aperturas de cuentas falsas y un aumento del número de identidades sintéticas.

Aumento del número de personas dispuestas a vender documentos de identidad

A la dificultad de disponer de documentos robados, se suma el hecho de que muchas personas están dispuestas a vender sus documentos de identidad a cambio de una comisión. 

Esto es especialmente cierto tras la pandemia mundial de COVID-19. La población en general en todo el mundo se ha visto afectada económicamente, y los estafadores no han tardado en aprovecharse de la situación. 

Ofrecen comprar datos personales o tomar prestadas las cuentas bancarias de la gente para ocultar sus actividades de fraude de identidad sintética. He aquí algunas opciones:

• Mulas de dinero: una mula de dinero es una persona que transfiere dinero robado en nombre de otros. También se le conoce como «smurfer» o «squaring». Los menores de 25 años corren un riesgo especial, y las mulas de dinero pueden ser cómplices de esquemas de lavado de dinero.
• Cuenta bancaria: la cuenta que las mulas de dinero utilizarán para recibir y transferir fondos ilícitos.
• Rent-an-ID: en la economía sumergida, hemos visto una proliferación de servicios que piden descaradamente a las personas que alquilen sus documentos, a cambio de un pago.
• Servicios de documentos falsos de clearnet: ¿no puedes proporcionar la documentación correcta? No hay problema: un número cada vez mayor de servicios de clearnet ofrecen identificaciones con Photoshop para los estafadores, ayudándoles a eludir los controles KYC mediante identificaciones selfie.

Conclusión: no faltan recursos para confeccionar el documento de identidad perfecto, hecho a medida para estafar a los servicios en línea.

La prevalencia de los servicios de identificación falsa

¿Qué pasa si los estafadores se encuentran con controles más pesados de KYC en forma de carga de documentos? Apenas es un inconveniente: pueden simplemente comprar un documento a un servicio de falsificación, que son abundantes, asequibles y sorprendentemente eficaces.

Conclusión: Una mejor detección con un enfoque de múltiples capas

Los delincuentes tienen acceso a un número creciente de recursos para crear identificaciones sintéticas. Para las empresas afectadas, no basta con implementar reglas de fraude de comprobación de identidades estáticas y dejar que se ejecuten en piloto automático. 

La buena noticia, sin embargo, es que no tienes que malgastar todos tus recursos en intensas revisiones manuales para comprobar una identidad. Utilizando una sofisticada tecnología de riesgos, puedes combinar herramientas para crear una red que filtre a los usuarios maliciosos y solo permita la entrada de aquellos que ayuden a tu empresa a alcanzar sus objetivos.

Preguntas frecuentes

Lee más:

Enriquecimiento de datos | Detección del fraude online | Machine learning en detección de fraudes | Reputación de IP

Fuentes

• BBC: I was a teenage ‘money mule’
• Federal Reserve: Synthetic ID Fraud in the US Payment System
• Comparitech: Identity theft facts & statistics: 2019-2022
• Experian: 2021 Future of Fraud Forecast