Una guía sobre el fraude de identidad sintética: definición, objetivos y medidas preventivas

En pocas palabras, el fraude de identidad sintética consiste en crear una identidad falsa basada en datos personales de personas reales para acceder a servicios y bienes digitales.

Por ejemplo, los estafadores pueden inventar una nueva persona combinando información legítima de varias personas aleatorias. También pueden usar solo un componente genuino complementado con datos demográficos generados por IA.

Además, los estafadores a menudo envían sus direcciones de correo electrónico y números de teléfono como una forma de controlar la cuenta y retirar dinero.

Existen muchas variantes de identidades sintéticas. La idea principal es que estas identidades sintéticas no son personas reales, sino creaciones de una imaginación maliciosa.

El fraude de identidad sintética está relacionado con el robo de identidad, cuando los defraudadores obtienen acceso no autorizado a los datos de identificación de una víctima: nombre, dirección, fecha de nacimiento, número de documento, etc. Estos datos les sirven como materia prima para nuevas identidades falsas. Los estafadores pueden obtener esta información de manera engañosa, por ejemplo, mediante correos de phishing, o comprándola en la dark web, donde se almacenan terabytes de bases de datos robadas.

¿Qué es el fraude de identidad sintética en comparación con su contraparte tradicional? La mayor diferencia puede resumirse así: el robo de identidad sintética genera identidades falsas completamente nuevas, en lugar de tomar una identidad existente.

El robo de identidad tradicional implica hacerse pasar por una persona existente. Los delincuentes primero recopilan distinta información personal (como el nombre de la víctima, número de Seguro Social (NSS), fecha de nacimiento, dirección, etc.), que luego usan para acceder a cuentas existentes o crear nuevas.

Para nuestra comparación, también queremos destacar que este tipo de fraude por lo general causa un daño inmediato a la víctima. Se presenta de distintas formas (una cuenta bancaria vaciada o un préstamo tomado sin aprobación), pero el resultado final no cambia: dinero perdido.

Como se mencionó antes, el robo de identidad sintética significa combinar datos reales robados con elementos fabricados para crear una identidad híbrida, una persona tipo Frankenstein. Así, un delincuente puede emparejar un NSS real robado con un nombre falso, una fecha de nacimiento falsa y una dirección elegida por él. En algunos casos, incluso puede usar el NSS de un menor o el de una persona fallecida, ya que es menos probable que estos generen señales de alerta inmediatas.

A diferencia del robo de identidad tradicional, el objetivo aquí no es explotar de inmediato la identidad falsa para obtener ganancias financieras. En cambio, los delincuentes invierten tiempo en crear un perfil crediticio creíble solicitando pequeñas líneas de crédito. Luego, a lo largo de meses o incluso años, la persona falsa finalmente se gana por completo la confianza de las instituciones financieras, lo que abre el camino para la gran estafa esperada.

El mayor problema al descubrir robo de identidad sintética es la ausencia de una víctima clara e identificable. A diferencia de una situación en la que la persona real puede presentarse y reportar anomalías, el robo de identidad sintética crea víctimas que en realidad no existen.

Además, las identidades sintéticas tienden a imitar perfiles de personas con historiales crediticios limitados, como adultos jóvenes o inmigrantes. Las agencias de crédito, que dependen en gran medida del NSS como identificador único, ayudan inadvertidamente al proceso cuando generan perfiles crediticios para estas identidades falsas. Una vez establecidos, estos perfiles se integran al sistema, lo que vuelve la detección aún más difícil.

Principalmente, el fraude de identidad sintética se utiliza para engañar a negocios relacionados con finanzas. Al enviar datos de identificación falsos de forma remota, los defraudadores solicitan préstamos que nunca pagarán. A veces, pueden construir credibilidad gradualmente mientras se hacen pasar por un cliente respetuoso de la ley y responsable, para aumentar su línea de crédito y, al final, llevarse más dinero. Después de “bustear” la cuenta vinculada a una identidad sintética, los defraudadores la abandonan y desaparecen con el dinero.

No sorprende que el 92% de las empresas de banca encuestadas por Regula perciba el fraude de identidad sintética como una amenaza real. El costo del fraude de identidad en el sector alcanza cientos de miles de dólares.

Sin embargo, el problema no es significativo solo para bancos y prestamistas: el 46% de las organizaciones a nivel mundial experimentó fraude de identidad sintética en el último año, según nuestras estadísticas de fraude de identidad. Las empresas en Estados Unidos parecen ser las más preocupadas: cerca del 91% de las organizaciones considera que las identidades sintéticas son una amenaza creciente.

Los negocios digitales, como plataformas de bienes y servicios, también son objetivos. Según una investigación de PwC sobre fraude en plataformas, el 21% de las empresas afirma que el fraude de identidad sintética es una herramienta que los malos actores usan para compras y transacciones no autorizadas al hacerse pasar por comercios y clientes.

¿De qué es capaz el fraude de identidad sintética? Primero, este tipo de fraude le cuesta mucho dinero a las empresas. En promedio, el saldo dado de baja es de $15,000 por caso de fraude de identidad sintética, según reveló un estudio de la Reserva Federal. El Deloitte Center for Financial Services anticipa que el fraude de identidad sintética generará al menos $23,000 millones en pérdidas para 2030. Este crecimiento corresponde en parte a un aumento de pagos sin efectivo a nivel mundial.

Segundo, cada filtración grave de datos personales permite que los defraudadores aprovechen información de identificación comprometida. Una vez que los ladrones de identidad tienen los datos personales de alguien, pueden abrir nuevas cuentas usando una identidad sintética como escudo.

En 2022, banca fue uno de los tres sectores con mayor tasa de filtraciones de datos. Además, el número de estos incidentes en Estados Unidos se ha multiplicado por diez en las últimas dos décadas.

Tercero, los ladrones de identidad no necesitan robar un paquete completo de identificación para crear una identidad sintética. En Estados Unidos, pueden usar un número de Seguro Social (NSS) como componente genuino. Por cierto, esta es una de las razones por las que los negocios locales se toman la amenaza con tanta seriedad.

Ahora que respondimos la pregunta “¿Qué es el robo de identidad sintética?”, profundicemos en su proceso, paso a paso. Así, tendrá una mejor idea de para qué exactamente debe estar preparado.

Todo empieza con la obtención de datos personales genuinos, y los NSS suelen ser la opción principal. Los defraudadores se enfocan en NSS que tienen menos probabilidades de llamar la atención, como los de menores, adultos mayores o personas fallecidas.

¿Y de dónde sale esta información? La dark web es una fuente común, con plataformas de mercado negro que venden números de Seguro Social, fechas de nacimiento y otros datos personales. Las estafas de phishing y las filtraciones de datos también aportan mucho a este conjunto. Por eso es importante que las personas reduzcan su huella digital, para disminuir el riesgo de que sus datos caigan en manos equivocadas.

Una vez que los delincuentes obtienen un NSS legítimo, lo combinan con varios datos inventados, como un nombre falso, fecha de nacimiento y dirección, para crear una identidad sintética. Con menor frecuencia, incluso podrían usar su propio nombre y dirección junto con el NSS robado.

Lo crítico aquí es asegurarse de que los datos fabricados parezcan plausibles. Para ello, los defraudadores usan bases de datos públicas para alinear la identidad falsa con ciertas tendencias demográficas o datos geográficos.

Una nueva identidad sintética no tiene valor sin un perfil crediticio. Para crear este perfil, los delincuentes emplean métodos como el piggybacking: obtienen acceso autorizado a la cuenta crediticia de otra persona, a menudo aprovechando cuentas comprometidas o debilidades en los sistemas de autorización.

Otro enfoque es buscar crédito con prestamistas que se especializan en ayudar a quienes tienen poco o ningún historial crediticio. Incluso si las primeras solicitudes se rechazan, el simple hecho de solicitar ya deja un registro para la identidad sintética.

Una vez que una identidad sintética obtiene una línea de crédito inicial y pequeña, los defraudadores comienzan a “cultivar” el perfil. Realizan compras pequeñas periódicamente y pagan sus saldos de forma constante para construir un historial crediticio positivo.

A medida que crece su solvencia, los delincuentes obtienen acceso a límites de crédito más altos y a productos financieros más atractivos, como préstamos personales o tarjetas de crédito de mayor monto.

La etapa final del fraude de identidad sintética es cuando el delincuente finalmente retira el dinero, lo que se conoce comúnmente como un “bust-out”. Simplemente agota todas las líneas de crédito disponibles, nunca las paga y desaparece sin dejar rastro. Y como la identidad sintética no está vinculada a una persona real, no hay una víctima a quien rastrear ni alguien que pueda reportar la actividad fraudulenta.

Se debe prestar especial atención al problema del uso indebido de los datos de menores. Según una investigación de Javelin de 2024, uno de cada 19 menores fue víctima de fraude de identidad en los últimos seis años en Estados Unidos. Los NSS de menores son especialmente buscados por defraudadores porque son, en esencia, recursos sin uso. A diferencia de los adultos, los menores normalmente no tienen historial crediticio, lo que hace que sus NSS sean “pizarras en blanco”.

Los delincuentes pueden crear identidades sintéticas usando el NSS de un menor y dejarlo “dormido” durante años, activándolo solo cuando el menor llega a la adultez. Para entonces, la identidad sintética a menudo ya tiene un historial crediticio establecido, lo que vuelve todavía más difícil detectar el fraude.

Hay que decirlo: detectar todo el fraude de identidad sintética es casi imposible, por eso lo mejor que puede hacer una organización es una limitación efectiva del daño. Como se mencionó antes, el obstáculo principal aquí es la naturaleza extremadamente sutil del fraude y la ausencia de una víctima identificable.

Veamos las medidas que puede tomar para detectar fraude de identidad sintética en etapas tempranas.

Las identidades sintéticas a veces pueden seguir patrones crediticios inusuales que se vuelven evidentes al analizarlos de cerca. Por ejemplo:

• Registros públicos escasos: una identidad sintética puede tener un NSS legítimo, pero no tener registros públicos asociados, como registros de votación, declaraciones de impuestos o historiales crediticios previos.

• Construcción rápida de crédito: si los delincuentes se apresuran demasiado con su esquema, sus identidades sintéticas pueden mostrar una línea de tiempo acelerada de construcción de crédito, ganando solvencia significativa en cuestión de meses.

• Historiales de direcciones inusuales: no es raro que los delincuentes usen una misma dirección para varias identidades no relacionadas. Cruzar estas direcciones puede ayudarle a identificar patrones indicativos de fraude.

Si usted usa sistemas avanzados de detección de fraude, tendrá acceso a analítica de comportamiento profunda. Esto le ayudará a descubrir inconsistencias que los defraudadores podrían pasar por alto.

Así, variaciones leves en ingresos reportados, cargos o nombres de empleadores pueden sugerir un bust-out próximo.

Siguiendo con el tema de tecnología, puede aprovechar por completo un rango de soluciones como los sistemas de detección de fraude mencionados, que pueden rastrear anomalías. Pero hay más.

Si es posible, puede usar bases de datos colaborativas que agregan datos de fraude de bancos, prestamistas y agencias de crédito, lo que también ayuda a identificar patrones sospechosos. Además, puede usar servicios como Consent-Based NSS Verification (CBSV) de la Social Security Administration, para verificar si un NSS coincide con el nombre y la fecha de nacimiento proporcionados al abrir la cuenta.

Como las identidades sintéticas pueden infiltrarse en los sistemas de una empresa en la etapa de incorporación de clientes, parece razonable concentrar todos los esfuerzos en ese punto. Sin embargo, es una tarea compleja: prevenir el fraude de identidad sintética requiere un plan amplio que abarque todos los riesgos de seguridad.

Estas son algunas recomendaciones basadas en mejores prácticas de líderes del sector y expertos de Regula:

Según analistas de McKinsey, si un proceso de incorporación de clientes no incluye verificación presencial de documentos ni revisión biométrica, potencialmente deja espacio para el fraude de identidad sintética. Sin embargo, hoy más empresas de servicios financieros omiten solicitudes presenciales, intentando responder a la creciente demanda de procesos remotos.

Para mantenerse confiable y seguro, este enfoque debería complementarse con un proceso completo de IDV, incluyendo software de detección de fraude. Esto significa que debe validar todas las facetas de la identidad del solicitante:

• Verificar que el documento de identidad enviado sea válido y genuino realizando un conjunto de comprobaciones de autenticidad.

• Asegurarse de que el solicitante esté completamente asociado con el ID enviado.

• Comprobar que el usuario sea una persona viva mediante verificación biométrica con un componente de prueba de vida, por ejemplo, comparando la selfie del usuario con la foto en su ID.

• Revisar señales de fraude pasivo, como discrepancias entre la dirección IP o geolocalización del solicitante y la dirección enviada.

• Confirmar que el usuario no esté en una lista de sanciones u otra lista negra.

Según el Business Impact Report 2023 de ITRC, la mayoría de las pequeñas empresas no utiliza herramientas como autenticación multifactor (MFA) para empleados y clientes. Muchas también descuidan el acceso basado en roles para el acceso de empleados a datos sensibles y el uso obligatorio de contraseñas seguras. Las tasas de adopción de estas soluciones varían entre 20% y 34%, según la herramienta.

Un modelo de seguridad zero trust basado en biometría puede ayudarle a reducir riesgos de fraude de identidad sintética. Bajo la idea de que todo el tráfico entrante es malicioso, las empresas pueden adoptar con éxito el enfoque de “nunca confíe, siempre verifique”. Eso también implica implementar componentes biométricos en todos los puntos de acceso del sistema.

Al añadir más capas de defensa a su perímetro mediante soluciones más avanzadas, puede prevenir el robo de identidad y las filtraciones de datos personales. Ambas amenazas de seguridad contribuyen al crecimiento acelerado del fraude de identidad sintética.

Lamentablemente, identidades sintéticas con puntajes crediticios positivos ya pueden estar en su base de datos de clientes. Esto significa que también debe desarrollar procedimientos de monitoreo que ayuden a sus empleados a marcar cuentas sospechosas en etapas tempranas. Un equipo capacitado con entrenamiento específico es una defensa importante en la lucha contra el fraude de identidad sintética.

También puede ser útil implementar campañas educativas para clientes por correo electrónico y redes sociales. Artículos, videos y publicaciones de blog dedicadas al fraude de identidad sintética y al robo de identidad aumentan la conciencia sobre la amenaza. Los clientes informados se convierten en aliados. Verán procedimientos de verificación de identidad más exigentes como una medida adicional antifraude, no como un obstáculo que afecta negativamente su experiencia con servicios digitales.

El robo de identidad sintética es una amenaza sofisticada y persistente que explota vulnerabilidades sistémicas en los procesos de verificación de identidad. Al combinar datos robados con detalles fabricados, los defraudadores crean perfiles crediticios convincentes capaces de evadir la detección durante años.

¿Cómo prevenir el robo de identidad sintética? Es probable que requiera una evolución de sus medidas de seguridad, además de tecnología avanzada que las respalde.

Y puede encontrar esa tecnología en soluciones como Regula Face SDK: con ella, usted puede verificar que una identidad esté representada por la misma persona real mediante verificación biométrica a partir de un flujo en vivo de la cámara. Además, si los defraudadores intentan explotar imágenes robadas, videos o incluso máscaras impresas en 3D, fallarán. La prueba de vida de Regula puede examinar señales sutiles, como el reflejo de la luz en la piel o micro-movimientos naturales, para confirmar la presencia de una persona viva.