Qué ocurrió
Según la fiscalía de los Países Bajos, un hombre presuntamente abrió casi 50 cuentas bancarias en ABN AMRO superponiendo su propio rostro sobre identidades de pasaportes robados y utilizando esas imágenes durante el proceso de incorporación remota del banco. Las selfies enviadas fueron alteradas mediante técnicas de deepfake para que se parecieran al titular del pasaporte.
Cómo parece haber funcionado el esquema
Demasiadas empresas siguen hablando de los deepfakes como si la amenaza consistiera en un rostro completamente sintético que aparece de la nada. En el fraude durante la incorporación remota, el escenario suele ser mucho más simple: documentos reales, selfies reales y personas reales, pero manipulados lo suficiente como para superar controles poco robustos.
El presunto ataque combinó dos elementos reales: documentos de identidad robados y una persona real frente a la cámara. Posteriormente, la selfie se alteró digitalmente para que el rostro del atacante se pareciera lo suficiente a la fotografía del pasaporte y pudiera hacerse pasar por el titular del documento.
Este tipo de manipulación suele describirse como morphing facial, en el que un rostro real se combina o ajusta para parecerse a otro, en lugar de ser sustituido por un rostro completamente sintético. Según la fiscalía, las cuentas resultantes podrían haberse utilizado como cuentas mula para cometer fraude o lavado de dinero.
Lo que hace que casos como este sean difíciles de detectar es lo convincentes que pueden parecer múltiples señales de identidad — el documento, la selfie o incluso la comprobación de los rostros — al respaldar la misma afirmación de identidad.
Por qué una identidad falsa aún puede ser aceptada
ABN AMRO no ha revelado la configuración exacta del proceso de verificación utilizada en este caso, por lo que la explicación que sigue es únicamente una reconstrucción probable.
La incorporación remota suele funcionar como una cadena de verificaciones: comprobación del documento, captura de la selfie, comprobación de los rostros, prueba básica de vida o detección de intentos de suplantación, y una decisión final. Cada etapa genera señales, desde los datos del documento hasta los resultados de la comprobación de los rostros, que luego se utilizan para decidir si la evidencia es lo suficientemente sólida como para aprobar la solicitud.
Aun así, el resultado puede ser incorrecto.
-
El documento puede parecer auténtico.
-
La selfie puede mostrar a una persona viva.
-
El rostro puede parecer lo suficientemente similar a la foto del titular.
Nada de eso, por sí solo, demuestra que el solicitante sea el legítimo titular de esa identidad. Cuando esas señales se validan una por una, pero no se evalúan conjuntamente como una única afirmación de identidad, una identidad falsa aún puede ser aceptada. En esto se está convirtiendo cada vez más la verificación de identidad: en determinar si las señales subyacentes realmente pertenecen a la misma identidad.
Este caso también demuestra por qué los documentos robados siguen siendo tan útiles para el fraude durante la incorporación. La manipulación mediante técnicas de deepfake todavía no está reemplazando el robo de identidad. Lo que hace es facilitar la reutilización de datos de identidad robados en procesos remotos. Y cuando una única señal aparentemente convincente recibe demasiado peso, toda la decisión se vuelve más fácil de explotar.
La validez de las señales no garantiza la validez de la identidad
Un caso como este aún puede detectarse, pero mediante una capa diferente de controles. Un sistema más robusto verifica si el conjunto completo de señales — el documento, la captura, la comprobación de los rostros y el contexto de la sesión —, consideradas en conjunto, respaldan la misma afirmación de identidad. A esto se le conoce cada vez más como integridad de las señales de identidad.
Control del origen de las señales. La primera pregunta no es únicamente si la selfie parece convincente, sino si el sistema puede confiar en su procedencia. La validación del dispositivo, los metadatos de captura, la inteligencia sobre el origen y los estándares emergentes de procedencia pueden ayudar a determinar si la imagen proviene de un flujo de captura confiable o si ingresó al proceso ya manipulada.
Consistencia entre las señales. Una comprobación de los rostros no debería ser suficiente para tomar una decisión por sí sola. Debe ser coherente con el documento, la captura y el resto de la solicitud. Un documento puede ser auténtico y, aun así, pertenecer a otra persona. Una selfie puede parecer creíble y, sin embargo, respaldar una afirmación de identidad incorrecta.
Detección de reutilización. Una solicitud puede parecer creíble por sí sola, pero decenas de ellas rara vez lo son. El uso repetido del mismo rostro, dispositivo, configuración de captura o patrón de envío en distintas identidades puede revelar lo que las verificaciones individuales no detectan.
Orquestación. Los buenos sistemas no permiten que los resultados dudosos se acumulen silenciosamente hasta convertirse en una aprobación. Tratan las inconsistencias como un riesgo, aplican verificaciones adicionales cuando es necesario y escalan los casos sospechosos antes de tomar una decisión.
Con un volumen de este tipo, las aprobaciones repetidas empiezan a parecer un problema en la capa de decisión, más que una serie de falsos positivos aislados.
Lo que las instituciones financieras deberían revisar ahora
En casos como este, el sistema no es engañado por una única falsificación, sino por una combinación de señales reales y ligeramente manipuladas que aparentan ser coherentes.
Para los bancos y las empresas fintech, esto puede ser un motivo para revisar no solo el rendimiento de la comprobación de los rostros, sino también toda la capa de decisión que rodea el proceso de incorporación. Pregúntese:
-
¿Puede el sistema confirmar que el documento no solo es auténtico, sino que además lo presenta su legítimo titular? Un documento auténtico no es suficiente si pertenece a otra persona.
-
¿Qué tan bien resiste el flujo los intentos de manipulación? Esto incluye la prueba de vida, la detección de ataques de presentación y las comprobaciones de imágenes faciales alteradas o inyectadas, así como las reproducciones de pantalla.
-
¿Puede detectar patrones repetidos entre distintas solicitudes? El mismo rostro, dispositivo, configuración de captura o comportamiento de envío utilizado con diferentes identidades no debería pasar desapercibido.
-
¿Qué ocurre con los casos dudosos? Si la coincidencia es cercana, pero no convincente, o si las señales no están completamente alineadas, el flujo debería reforzar las verificaciones, ralentizar el proceso o escalar el caso.
-
¿La decisión final se basa en un único punto de control o en un conjunto de evidencias conectadas? Los procesos de incorporación sólidos aprueban únicamente cuando la afirmación de identidad es consistente en su conjunto.
💡 ¿Está revisando su proceso de incorporación tras casos como este?
Agende una llamada con Regula para conocer cómo fortalecer la verificación de documentos, las comprobaciones biométricas y la lógica de decisión a lo largo de todo el proceso de verificación de identidad.
