IDV en la prevención de lavado de dinero: Navegando amenazas modernas y contramedidas

Los métodos de blanqueo de capitales continúan adaptándose en respuesta a las medidas regulatorias y de aplicación de la ley. Hoy en día, los blanqueadores de dinero explotan tecnologías emergentes, el comercio global, vacíos regulatorios y, además, cometen fraude de identidad.

Analicemos estas amenazas clave en el contexto actual:

El auge de las criptomonedas y otros activos virtuales ha creado nuevos canales para mover fondos ilícitos. Bitcoin, Ethereum y cientos de otras monedas digitales permiten transferir valor de manera seudónima en todo el mundo sin intermediarios tradicionales.

Los criminales usan intercambios de criptomonedas, mezcladores/tumblers y plataformas de finanzas descentralizadas (DeFi) para ocultar el rastro del dinero. Por ejemplo, las bandas de ransomware suelen lavar sus pagos en criptomonedas enviándolos a través de servicios de mezcla que combinan y confunden los fondos de muchos usuarios.

En el blanqueo de capitales a través del comercio (TBML, por sus siglas en inglés), los criminales mueven fondos ilícitos mediante la falsificación de transacciones, como facturas falsas, envío de mercancías ficticias, entre otros métodos.

Los esquemas de TBML han incluido de todo, desde automóviles y electrónicos hasta productos agrícolas y textiles. Según un análisis de Global Financial Integrity en 2023, prácticamente cualquier tipo de bienes puede ser utilizado. Ejemplos comunes incluyen autos usados (24% de los casos analizados), metales y minerales (17%), productos agrícolas (13%).

A menudo, se utilizan redes de empresas fantasma o empresas pantalla en diferentes países para emitir y pagar facturas, lo que dificulta la detección. Las organizaciones criminales también han aprovechado la volatilidad en los precios comerciales (agravada por eventos como la pandemia de COVID-19 y las interrupciones por sanciones) para justificar valoraciones comerciales inusuales.

Los blanqueadores de capitales son expertos en aprovechar la inconsistencia de las regulaciones PBC entre diferentes países. A pesar de la adopción generalizada de los estándares del GAFI por más de 200 jurisdicciones, todavía existen brechas significativas en la implementación. Esto permite que los fondos ilícitos se trasladen a través de los lugares con menor cumplimiento.

Otra forma de explotar vacíos legales es malutilizar programas de residencia legal o ciudadanía para evadir la verificación PBC. Algunos delincuentes adinerados pueden obtener ciudadanía en estados con menor rigor en la debida diligencia financiera, lo que les permite abrir cuentas bancarias o invertir en el extranjero bajo una nueva identidad que genere menos alertas.

Además, se manipulan las diferencias en los umbrales legales. Por ejemplo, estructurar depósitos justo por debajo de los umbrales de reporte en múltiples países.

Los controles de KYC y el monitoreo de transacciones se basan en la suposición de que la identidad de un cliente es genuina. Si los criminales logran obtener pasaportes falsos de alta calidad, licencias de conducir falsas o incluso documentos reales robados, pueden blanquear dinero bajo nombres falsos, burlando la detección de sanciones y la transparencia de los beneficiarios finales.

Por esta razón, el fraude de identidad se ha convertido en una amenaza crítica para los esfuerzos de prevención del blanqueo de capitales en los últimos años. 

Entre 2023 y 2025, las instituciones financieras de todo el mundo informaron aumentos en los ataques relacionados con la identidad, incluyendo identidades sintéticas (personas fabricadas con datos reales y falsos) y deepfakes (imágenes generadas por inteligencia artificial). La encuesta de Regula de 2024 reveló que el 96% de las empresas en Estados Unidos experimentaron fraude de identidad en 2024, lo que subraya la amplitud de este problema.

El Grupo de Acción Financiera Internacional (GAFI) es el principal organismo creador de estándares y evaluador en la arquitectura internacional de prevención del blanqueo de capitales. A pesar de no tener poderes formales de aplicación, ejerce una influencia significativa. El mandato del GAFI es establecer estándares globales y supervisar su implementación efectiva por parte de los países mediante un proceso de revisión entre pares y la identificación pública de jurisdicciones de alto riesgo.

Fundado por las naciones del G7 en la cumbre de París de 1989, el GAFI coordina la respuesta global contra el blanqueo de capitales. En 1990, emitió la versión inicial de las 40 Recomendaciones, un conjunto integral de medidas PBC que incluyen identificación del cliente, mantenimiento de registros, reporte de actividad sospechosa por parte de los bancos.

Las 40 Recomendaciones sirven como plan maestro para los regímenes nacionales PBC/FT. Cubren temas como:

• evaluación de riesgos y coordinación nacional;

• delitos de blanqueo de capitales y financiamiento del terrorismo;

• medidas preventivas para instituciones financieras;

• funciones y responsabilidades de autoridades competentes (unidades de inteligencia financiera, supervisores, fuerzas de seguridad, entre otros);

• cooperación internacional;

• cuestiones específicas (por ejemplo, transparencia de personas jurídicas).

Desde su creación, estas recomendaciones se han revisado periódicamente para abordar nuevas amenazas y aclarar cómo debe aplicarse un enfoque basado en riesgos. La actualización más reciente fue en febrero de 2025.

El enfoque basado en riesgos implica que los países e instituciones deben identificar áreas de mayor riesgo y aplicar controles más estrictos allí (ejemplo: diligencia debida mejorada para clientes de alto riesgo), permitiendo al mismo tiempo medidas simplificadas en casos de bajo riesgo. Esto permite concentrar recursos donde más se necesitan.

Uno de los procesos más influyentes del GAFI es la evaluación mutua, que consiste en revisiones detalladas de cada país, realizadas por equipos de expertos de otros Estados miembros junto con la secretaría del GAFI. Durante esta evaluación, el equipo analiza el cumplimiento técnico, la efectividad de las medidas PBC. Los resultados se publican en Informes de Evaluación Mutua (MERs) con calificaciones para cada recomendación y resultado inmediato.

Estas evaluaciones se realizan aproximadamente cada diez años por país (actualmente, el GAFI está en su cuarta ronda, avanzando hacia la quinta más adelante en esta década). Si un país presenta deficiencias, el informe detalla acciones recomendadas, y el país queda sujeto a revisiones de seguimiento para monitorear mejoras.

Según el análisis del GAFI en 2022, 76% de los países han implementado satisfactoriamente los requisitos técnicos, 97% aún no logra un alto nivel de efectividad en la prevención del blanqueo de capitales. Esto refleja que muchos países tienen un sistema PBC de “lista de verificación” (leyes escritas y unidades establecidas) pero con dificultades para obtener condenas o confiscar activos significativos.

La diligencia debida del cliente (CDD) es una parte fundamental de un marco PBC moderno. CDD exige que las instituciones financieras identifiquen y verifiquen la identidad del cliente (y de cualquier beneficiario final), comprendan el propósito de la cuenta o transacción y monitoreen la actividad. Si un cliente es de mayor riesgo (por ejemplo, una persona políticamente expuesta (PEP) o alguien de una jurisdicción con controles PBC débiles), se requieren pasos de diligencia debida mejorada (EDD), con mayor escrutinio del origen de los fondos.

El GAFI también impone obligaciones de conservación de registros para garantizar que los registros de transacciones y los documentos de identificación de los clientes se conserven (normalmente durante cinco años o más) por si los investigadores los necesitan.

Otra recomendación es el uso de Informe de Actividad Sospechosa (SAR): cada vez que una institución sospeche que fondos pueden ser criminales o estar vinculados al terrorismo, debe presentar un reporte inmediato ante la unidad nacional de inteligencia financiera.

Para cumplir con las directrices del GAFI, las empresas utilizan sistemas sofisticados de verificación de identidad PBC. De esta manera, pueden asegurarse de que el cliente es quien dice ser y eliminar la amenaza constante del fraude de identidad.

El marco de verificación de identidad típicamente consta de dos procedimientos clave: autenticación de documentos y reconocimiento facial.

La verificación de documentos de identidad emitidos por el gobierno se considera la primera línea de defensa en CDD y en la incorporación remota de clientes. La tecnología moderna de verificación de documentos ha avanzado significativamente en los últimos años, permitiendo controles forenses automatizados que antes requerían expertos capacitados. Por ejemplo, Regula Document Reader SDK se basa en más de 15,000 plantillas de documentos de 251 países y territorios para confirmar la autenticidad del documento presentado.

Estas soluciones pueden analizar el documento en busca de signos de manipulación y extraer datos codificados de chips RFID y zonas de lectura mecánica (MRZ) para una verificación cruzada posterior. Además, el software determina que todos los elementos conocidos del documento están presentes en la forma y ubicación correctas.

Otra característica importante es la comprobación liveness de documentos, que garantiza que la identificación presentada sea un documento real y presente físicamente, en lugar de una copia impresa o una captura digital. El sistema puede solicitar al usuario que incline el documento o que lo muestre bajo diferentes condiciones de luz, mientras analiza respuestas dinámicas como (tintas de cambio de color, patrones holográficos reflectivos, etc.) Si un impostor intenta engañar al sistema con una foto en pantalla o en papel, estas verificaciones fallarán.

Sin embargo, a medida que la verificación de documentos se vuelve más efectiva, los criminales cambian su enfoque hacia el elemento humano o la etapa biométrica. Por ejemplo, si un estafador obtiene un documento auténtico (mediante robo o datos filtrados) y asume la identidad de esa persona, el documento pasará las pruebas de autenticidad, ya que es genuino. Por eso, el reconocimiento facial es vital para confirmar la identidad de quien presenta el documento.

Las instituciones financieras combinan cada vez más la verificación de documentos con el reconocimiento facial. Después de escanear su documento, el solicitante debe tomarse una selfie en vivo o un video corto. El sistema compara la imagen facial de la selfie con la foto en el documento para confirmar que coinciden.

Existen dos enfoques principales: prueba de vida activa y pasiva. La prueba de vida activa pide al usuario realizar ciertas acciones: parpadear, girar la cabeza, sonreír, seguir un indicador en pantalla, analizando los movimientos para confirmar que provienen de un humano vivo. La prueba de vida pasiva no requiere acciones explícitas por parte del usuario. Utiliza algoritmos para evaluar un solo fotograma o un video corto en busca de signos naturales de vida (textura de la piel, profundidad, reflejos en los ojos, ligeros movimientos involuntarios, etc.), lo que a menudo lo hace más fluido para el usuario.

La efectividad de estos sistemas se mide por su capacidad para detener ataques de presentación. Esto depende del cumplimiento con el estándar ISO 30107-3, el más alto de la industria para detección de ataques de presentación. Por ejemplo, Regula Face SDK ha sido probado para cumplir con los niveles 1 y 2 del ISO 30107-3 (iBeta), lo que significa que puede detectar tanto ataques de bajo esfuerzo (fotos impresas) y más intentos sofisticados (reproducciones en pantallas de alta resolución y máscaras 3D).

La industria financiera ha avanzado significativamente en fortalecer sus defensas contra el fraude de identidad como parte de sus programas PBC. La verificación de documentos y el reconocimiento facial con prueba de vida ayudan a lograr este objetivo y dificultan que los criminales exploten identidades falsas o se oculten bajo el anonimato.

Su proceso de verificación de identidad puede realizarse mediante soluciones como Regula Document Reader SDK y Regula Face SDK. Ambas se integran fácilmente con sus aplicaciones móviles o web existentes.

Regula Document Reader SDK procesa imágenes de documentos y verifica su presencia física (comprobación liveness de documentos) y confirma su autenticidad. El software identifica el tipo de documento, extrae la información necesaria y determina si el documento es genuino.

Al mismo tiempo, Regula Face SDK realiza reconocimiento facial instantáneo y previene ataques de presentación fraudulentos como: imágenes estáticas faciales, fotos impresas, reproducciones de video, inyecciones de video o máscaras.

Regula está aquí para ayudarle a que su verificación de identidad sea compatible con el GAFI, segura y centrada en el cliente. Agende una llamada para conocer más sobre nuestras soluciones.