Lucha contra el fraude: Verificación de la identidad con fotografía para las empresas

Muchas empresas siguen confiando en la verificación manual de la identidad o en tecnologías anticuadas de escaneado de documentos que no pueden detectar las técnicas modernas de falsificación. Estos antiguos sistemas de verificación son cada vez más ineficaces frente a amenazas avanzadas como las falsificaciones profundas de IA, lo que plantea una serie de problemas a las empresas que los emplean.

Por ejemplo, en los sectores bancario y de tecnología financiera, el fraude de identidad sintética se ha convertido en un problema importante. Estos perfiles falsos, que combinan datos reales y falsos, pueden pasar fácilmente a través de los sistemas básicos de verificación de identidad, lo que permite a los estafadores abrir cuentas, solicitar préstamos y generar historiales de crédito falsos. Y las tendencias son muy preocupantes: se ha informado de que el fraude de identidad sintética ha aumentado un 153% desde la segunda mitad de 2023 hasta la primera mitad de 2024.

Los minoristas y las empresas de comercio electrónico también se ven muy afectados por las identidades robadas y falsas. Un sistema de verificación de identidad débil permite a los estafadores utilizar permisos de conducir y pasaportes robados para crear cuentas falsas, lo que les permite realizar compras no autorizadas y explotar las políticas de devolución. MasterCard afirma que, solo en 2023, el fraude por devolución de cargos costó a los comerciantes 20.000 millones de dólares, una cifra que se espera que aumente hasta los 28.100 millones de dólares en 2026.

Y no se trata sólo del impacto financiero inmediato del fraude, sino del daño operativo, legal y de reputación que conlleva. En el famoso caso de Binance, la empresa de intercambio de criptomonedas fue multada con la suma sin precedentes de 4.300 millones de dólares en 2023, y su fundador, Changpeng Zhao, renunció a su puesto de consejero delegado.

La detección del fraude es ahora una carrera armamentística. En cuanto las empresas implantan un nuevo nivel de protección, los defraudadores buscan la forma de sortearlo. Las empresas que siguen confiando en una verificación de identidad superficial y obsoleta están invitando a los delincuentes a aprovecharse de ellas.

Hace unos años, lo que más preocupaba era que los estafadores alteraran un documento de identidad real, cambiando la fecha de nacimiento o la foto. Hoy en día, los estafadores ya no están limitados por la calidad de un documento falsificado. En 2024, el fraude de identidad impulsado por IA y las identidades sintéticas se generalizaron, representando el 42% de los intentos de fraude detectados en todo el mundo. Esto significa que los ciberdelincuentes utilizan cada vez con más frecuencia herramientas de IA para crear identificaciones sintéticas que parecen idénticas a las legítimas. Y a veces no se limitan a imitar documentos, sino que incluyen metadatos creíbles, funciones de seguridad integradas y desgaste realista.

La verificación de la identidad mediante fotografía es un proceso de varios pasos que pretende minimizar los riesgos incluso de los ataques más sofisticados. Confirma la identidad de una persona analizando la autenticidad de un documento de identidad emitido por el gobierno y comparándolo con la biometría facial de la persona. A diferencia de otras formas más simplistas de verificación de la identidad empresarial, este método combina el análisis forense de documentos, la prueba de vida y las referencias cruzadas de bases de datos para evitar el fraude.

En consecuencia, el proceso puede dividirse en tres pasos clave:

El primer paso es asegurarse de que el propio documento de identidad es real. Para ello, un sistema de verificación de identidad en tiempo real realiza una serie de operaciones, como:

• Extracción de datos OCR: Analiza el diseño de los documentos y analiza automáticamente todos los campos de datos personales de los documentos de identidad (mecanografiados, impresos, en relieve o grabados), preparándolos al instante para su posterior verificación.

• Comprobación de MRZ (zona legible por máquina): Lectura y validación de MRZ con todos los datos que contienen de acuerdo con las normas OACI 9303 e ISO 18013, así como verificación de formatos MRZ no estándar.

• Lectura de códigos de barras y códigos QR: Procesamiento de códigos de barras 1D y 2D en documentos de identidad, extrayendo la información codificada y validando el formato de acuerdo con el diseño del documento.

• Verificación de chip NFC: Lectura y verificación de los datos del chip NFC incrustado en los documentos electrónicos, garantizando otra capa de seguridad mediante la verificación en el servidor.

• Detección de liveness del documento: Confirmación de que el documento de identidad presentado es un documento físico real mediante el análisis de los elementos de seguridad dinámicas y las interacciones en tiempo real.

Una vez verificado el documento, la siguiente capa de seguridad es la comparación biométrica facial. En la actualidad, los estafadores utilizan ampliamente la tecnología deepfake y las máscaras de alta calidad, por lo que las empresas que confían únicamente en el reconocimiento facial se exponen a un riesgo de seguridad importante.

Por eso, un sistema biométrico de alta calidad debe incluir también la prueba de vida. De forma similar a la detección liveness de documentos, esta función garantiza que el usuario es una persona real mediante el análisis de microexpresiones, patrones de parpadeo y estructura facial en 3D.

Existen dos tipos de la prueba de vida, en función del método utilizado:

• Prueba de vida activa: Pide al usuario que realice acciones aleatorias, como parpadear, mover la cabeza, seguir un objeto en movimiento o incluso repetir una frase aleatoria.

• Prueba de vida pasiva: No requiere que el usuario realice movimientos específicos, por lo que resulta menos intrusiva. En su lugar, pide a los usuarios que se hagan un selfie, lo que aumenta las tasas de conversión.

Una vez confirmada la presencia de una persona real, el sistema puede realizar una comparación facial 1:1 o 1:N. La comparación 1:1 compara un rostro con una imagen de referencia (normalmente la foto del documento de identidad), mientras que la comparación 1:N lo contrasta con una base de datos que contiene muchos rostros.

Dicho esto, la verificación biométrica puede dar falsos positivos y negativos, sobre todo si el aspecto de una persona ha cambiado debido al envejecimiento, el vello facial o problemas médicos. Por eso, si es posible, debe haber comprobaciones manuales realizadas por humanos después de que un sistema señale una cuenta sospechosa.

Los estafadores pueden crear identidades sintéticas completamente nuevas utilizando datos personales robados, y su empresa no tendrá forma de saber si la persona existe realmente. Por eso, aunque un documento de identidad parezca válido, es posible que quiera cotejar la información de identidad con fuentes autorizadas.

Por suerte, muchos sistemas de verificación de identidad facilitan este proceso recopilando y exportando todos los datos biométricos bajo demanda. Con estos datos disponibles, puede comprobar varias bases de datos (por ejemplo, registros gubernamentales, bases de datos PEP, informes de historial crediticio y listas de vigilancia internacionales) para ver:

• Si la persona tiene un historial de transacciones verificadas o registros oficiales.

• Si los datos del documento coinciden con la información almacenada en registros nacionales o financieros seguros.

• Si la identidad de la persona ha sido marcada en redes de detección de fraude o considerada como un perfil de alto riesgo.

Cuando una verificación de identidad es demasiado lenta, confusa o intrusiva, los clientes no se quejan, simplemente se van. Los bancos, las plataformas de tecnología financiera, los minoristas en línea y las criptobolsas pierden millones en ingresos cada año porque los usuarios abandonan antes de completar la verificación. Un cliente puede estar listo para registrarse, depositar dinero o hacer una compra, pero si se topa con una frustrante comprobación de identidad, a menudo elige a un competidor en su lugar.

A pesar de ello, muchas empresas siguen actuando como si una mala experiencia de usuario fuera una contrapartida aceptable para la seguridad. Esto es un error. Por eso, en lugar de obligar a los clientes a hacerse un selfie y varias fotos de identidad, algunas empresas permiten ahora a los usuarios verificarse al instante mediante reconocimiento facial o escaneado de huellas dactilares. Y lo hacen con la ayuda de sistemas de verificación de documentos de identidad con fotografía que procesan los documentos en cuestión de segundos sin dejar de ser extremadamente seguros. Soluciones como Regula Document Reader SDK y Regula Face SDK utilizan autenticación automatizada de documentos, referencias cruzadas biométricas y detección de fraude basada en aprendizaje automático para que el proceso sea instantáneo y fiable.

También hay soluciones capaces de realizar la identificación por vídeo, un método de verificación de identidad en el que un usuario se somete a una videollamada en directo o grabada con un especialista o sistema de verificación de identidad. En este caso, el individuo debe presentar su documento de identidad ante la cámara y realizar acciones específicas (por ejemplo, girar la cabeza o sonreír) para confirmar que es una persona viva. Este método, aunque muy eficaz, puede desanimar a los usuarios por ser más intrusivo y llevar más tiempo. Por eso es importante encontrar el equilibrio adecuado entre seguridad y experiencia del cliente. Las soluciones automatizadas suelen ser la mejor opción.

Lo que gana aún más confianza de los clientes es la transparencia sobre cómo se protegen sus datos de identificación. Las empresas deben ofrecer a los usuarios total claridad con sus políticas de privacidad de datos, para que los usuarios sepan dónde se utiliza su información y cuánto tiempo se almacenará. Dicho esto, la insatisfacción de los clientes dista mucho de ser el único problema relacionado con la privacidad de los datos.

Algunas empresas recopilan muchos más datos de los que necesitan durante el proceso de verificación de la identidad empresarial, a menudo sin tener en cuenta las consecuencias. Exigen pruebas adicionales de dirección, números completos de la seguridad social, múltiples formas de identificación o verificación de identidad en tiempo real mediante vídeo.

A veces, esta cantidad de datos puede ser necesaria, pero también suele recopilarse por uno de estos tres motivos erróneos:

1. Cumplimiento sin claridad: Las empresas interpretan los requisitos legales de forma demasiado conservadora, asumiendo que recopilar todos los datos posibles les protegerá de la responsabilidad. En realidad, muchas normativas de cumplimiento sólo exigen la verificación de los principales atributos de identidad, no expedientes completos de los clientes.

2. Estrategias anticuadas de prevención del fraude: Algunas empresas siguen operando bajo el supuesto de que más datos = mayor seguridad, sin reconocer que los defraudadores ahora utilizan identidades sintéticas generadas por IA que pasan incluso las comprobaciones más rigurosas. Ningún dato adicional detendrá una falsificación de identidad avanzada si el propio sistema de verificación de identidad de la empresa es débil.

3. Acaparamiento de datos para uso futuro: Muchas empresas recopilan más datos de los necesarios simplemente porque creen que serán útiles en el futuro. Pero sin una estrategia clara de retención de datos, esto convierte a las empresas en enormes pasivos de seguridad, almacenando información personal indefinidamente sin un plan para protegerla o deshacerse de ella de forma responsable.

Cuando las empresas poseen grandes cantidades de datos de identidad de sus clientes, se convierten en objetivos principales para los piratas informáticos. En los últimos años, se han disparado las filtraciones de datos de verificación de identidad con fotografía, en gran parte porque los ciberdelincuentes reconocen que los datos de identidad son más valiosos que la información de las tarjetas de crédito. Una vez que una base de datos que contiene identificaciones de clientes y datos biométricos es violada, el daño no puede deshacerse: a diferencia de los datos financieros, que pueden restablecerse con un nuevo número de tarjeta, la información biométrica robada es permanente.

Una de las mayores amenazas son los ataques de relleno de credenciales, en los que los piratas informáticos utilizan los datos de identidad robados en una violación para acceder a otros servicios en los que se almacena la misma información. Esto es especialmente peligroso para las empresas que almacenan información sensible de sus clientes en bases de datos centralizadas sin un cifrado fuerte ni controles de acceso.

Por eso, una solución eficaz es la verificación de identidad a prueba de conocimiento cero, un método que permite a las empresas confirmar la identidad de una persona sin almacenar realmente su información personal. En lugar de conservar registros de identidad completos, las empresas pueden verificar a los usuarios mediante métodos de autenticación criptográfica que confirman los datos de identidad sin conservarlos permanentemente.

Sin embargo, si una empresa desea almacenar todos los datos biométricos, el método preferido debería ser una solución IDV local o alojada de forma privada , en lugar de un SaaS basado en la nube. De este modo, tienen pleno control sobre los datos y todas las operaciones se realizan dentro de su perímetro, lo que minimiza el riesgo de filtraciones. Ni que decir tiene que las soluciones on-prem son a menudo la única opción posible para todo tipo de servicios públicos, controles fronterizos e incluso algunos bancos privados.

Otra opción es la verificación biométrica en el dispositivo, que permite a los usuarios verificarse mediante reconocimiento facial o escaneado de huellas dactilares en sus propios smartphones, en lugar de enviar los datos biométricos a la base de datos de una empresa. Esto mantiene los datos sensibles bajo el control del usuario, reduciendo el riesgo de robo masivo de identidades en caso de una brecha corporativa.

Durante décadas, los carnés de identidad de plástico y los documentos en papel han sido el patrón oro para verificar la identidad. Sin embargo, en los últimos años hemos visto cómo la verificación de la identidad daba un paso adelante con la adopción generalizada de los pasaportes electrónicos, con más de 170 países que expiden pasaportes biométricos que almacenan datos personales, identificadores biométricos y firmas digitales en chips NFC. Del mismo modo, en la UE, los EAU, la India y otras regiones se han implantado tarjetas de identidad electrónicas, equivalentes digitales a los documentos nacionales de identidad. A diferencia de los documentos de identidad tradicionales, estos documentos electrónicos son mucho más difíciles de falsificar, alterar o utilizar indebidamente.

También estamos asistiendo al auge de los documentos de identidad digitales basados en el móvil, como la Cartera de Identidad Digital de la UE. Este documento de identidad digital para ciudadanos, residentes y empresas de la UE permitirá a sus titulares acreditar su identidad, firmar documentos y acceder a los servicios de la Administración sin necesidad de un documento de identidad físico.

En EE.UU., más de diez estados han puesto en marcha licencias de conducir móviles (mDL), que permiten a los usuarios almacenar su licencia directamente en el elemento seguro de su teléfono inteligente. Apple y Google han integrado la identificación móvil en sus sistemas operativos, lo que permite a empresas y organismos públicos verificar identidades sin necesidad de una tarjeta de plástico.

Estas son exactamente las razones por las que las empresas también se están adaptando a la nueva realidad, independientemente del sector. Las empresas que todavía exigen a sus clientes que carguen copias escaneadas de documentos pronto podrían descubrir que sus procesos de verificación de identidad no sólo son lentos y frustrantes, sino completamente incompatibles con los sistemas de identidad digital del futuro. En la aviación civil, por ejemplo, muchos aeropuertos han optado por la rapidez y la eficacia, y ya están sustituyendo las colas de control de pasaportes por puertas electrónicas biométricas, por las que los viajeros pueden pasar simplemente escaneando su rostro.