Fraude de identidad sintética

El fraude de identidad sintética (Synthetic Identity Fraud) es una amenaza creciente que se está extendiendo como la pólvora, victimizando a innumerables personas y costando miles de millones de dólares a las instituciones financieras. Esta elaborada versión del robo de identidad combina datos personales reales con datos falsificados, para forjar identidades completamente nuevas, que pueden ser extremadamente difíciles de detectar.

El fraude de identidad sintética, que definitivamente no debe tomarse a la ligera, es el tipo de fraude de más rápido crecimiento, según un informe de TransUnion. Aunque el concepto de crear identificaciones sintéticas existe desde hace varias décadas, el problema se ha agravado significativamente desde 2017, con un aumento de las denuncias de robo de identidad a la Comisión Federal de Comercio, que pasaron de 371.000 en 2017 a 1,4 millones en 2021.

El fraude de identidad sintética es un delito financiero sofisticado que consiste en fabricar una identidad ficticia utilizando una combinación de información personal real con datos inventados. A diferencia del robo de identidad tradicional, que utiliza la identidad de una persona real, el fraude de identidad sintética moldea una personalidad completamente nueva que no se corresponde con ningún individuo concreto.

Las identidades sintéticas suelen combinar elementos de identificación auténticos y falsos, entre los que se incluyen los siguientes:

• Un número de la Seguridad Social (SSN) real.
• Un nombre falso.
• Una fecha de nacimiento inventada.
• Una dirección ficticia.

Una identidad sintética también puede incluir números de teléfono falsos o robados, documentos de identidad falsificados emitidos por el gobierno, presencia falsa en Internet, historial laboral falsificado o historial crediticio manipulado.

Lo que define el fraude de identidad sintética es su naturaleza híbrida, que combina información auténtica y falsa para crear una nueva identidad capaz de superar los procesos de verificación iniciales. Esto lo diferencia de otras formas de delitos relacionados con la identidad y lo hace especialmente difícil de detectar y prevenir.

El fraude de identidad sintética es un proceso complejo que consiste en hacer que una identidad falsa parezca creíble, legítima y capaz de superar los procesos de verificación y recibir comunicaciones. Se trata de un plan a largo plazo que puede reportar importantes beneficios a los autores de las amenazas, y a la vez causar pérdidas sustanciales a las instituciones financieras y a las personas cuya información personal ha sido explotada. Estos planes suelen llevarse a cabo utilizando diversas tácticas.

1. Recopilar información

Los estafadores suelen empezar por recopilar datos personales auténticos, centrándose a menudo en los números de la Seguridad Social. Las fuentes más comunes son:

• Filtraciones de datos.
• Mercados de la web oscura.
• Tácticas de ingeniería social.
• Registros públicos.
• Plataformas de redes sociales.

A menudo se centran en los números de la Seguridad Social de niños, personas mayores o personas sin hogar, ya que es menos probable que estos sean objeto de un seguimiento activo.

2. Crear la identidad sintética

Es habitual que los estafadores combinen un número de la Seguridad Social robado con información falsa, como un nombre, un número de teléfono, una fecha de nacimiento o una dirección falsos. A menudo denominada “identidad Frankenstein”, esta combinación de datos reales y falsos es lo que define una identidad sintética.

3. Generar crédito y credibilidad

Con la intención de robar el dinero en última instancia, los estafadores utilizan la identidad sintética para solicitar líneas de crédito. Al principio, las solicitudes suelen ser rechazadas y desestimadas debido a la falta de historial crediticio. Sin embargo, estas solicitudes crean un expediente crediticio para la identidad sintética.

Los estafadores pacientes siguen solicitando crédito hasta que lo consiguen, a menudo con prestamistas de alto riesgo. Cuando han invertido a largo plazo en su identidad sintética, utilizan este crédito de forma responsable, realizando los pagos a tiempo para crear un historial crediticio positivo y una credibilidad general.

4. Cultivar la identidad

A lo largo de meses o incluso años, los estafadores nutren y hacen crecer la identidad sintética, obteniendo gradualmente acceso a límites de crédito más altos y productos financieros más valiosos. Pueden utilizar técnicas como el “piggybacking” crediticio, en el que la identidad sintética se añade como usuario autorizado en una cuenta con buen crédito para aumentar su solvencia.

Para que la identidad parezca más auténtica, los estafadores también pueden crear perfiles falsos en redes sociales y participar en actividades online asociadas con la identidad sintética.

5. El “Escape”

Una vez que la identidad sintética ha establecido un crédito legítimo y puede pedir prestados fondos de manera efectiva a instituciones financieras, el estafador da un último empujón para agotar todo el crédito disponible antes de desaparecer y dejar de pagar. Esto se conoce a menudo como “Escape” (en inglés “Busting Out”), y deja a los acreedores con pérdidas significativas.

6. Repetición del proceso

Los estafadores expertos suelen crear diversas identidades sintéticas al mismo tiempo, lo que les permite ampliar sus operaciones y aumentar sus ganancias ilícitas. La accesibilidad de estos delitos cibernéticos los ha vuelto increíblemente extendidos y difíciles de prevenir.

Los ciberdelincuentes utilizan una serie de técnicas para crear y llevar a cabo el robo de identidad sintética. Estos son los principales métodos utilizados.

• Compilación de identidades: También conocido como “fraude Frankenstein”, este método habitual combina un número de la Seguridad Social robado con información personal falsa, de modo que la nueva identidad no se corresponde con ninguna persona real.
• Manipulación de identidades: Esta táctica busca alterar los datos de la identidad de una persona real para crear una nueva. Basta con pequeños cambios en el nombre, la dirección o la fecha de nacimiento para ocultar el historial crediticio anterior y empezar con una identidad “nueva”.
• Piggybacking: Similar al “tailgating” para acceder a un área física segura, el piggybacking (en inglés “montar a caballito”) consiste en añadir una identidad sintética como usuario autorizado en una cuenta legítima, lo que aumenta eficazmente su puntuación crediticia.
• Estafas con números de perfil crediticio (CPN): Estos esquemas utilizan un número falso de nueve dígitos en lugar de un número real de la Seguridad Social. Estos números a menudo se comercializan como una forma legal de crear una nueva identidad crediticia, pero realmente son ilegales.
• Ingeniería social: Mediante el uso de phishing, pretexting u otras tácticas de manipulación social, los agentes de amenaza obtienen información personal real para incorporarla a identidades sintéticas.
• Aprovechamiento de las lagunas en la reparación del crédito: Con una identidad sintética establecida, los agentes de amenaza pueden presentar denuncias falsas de robo de identidad para eliminar elementos negativos de los informes de crédito, mejorando así artificialmente la solvencia de la identidad sintética.
• Explotación de filtraciones de datos: Otra técnica consiste en utilizar información personal obtenida de filtraciones de datos a gran escala. Los estafadores pueden combinar fácilmente fragmentos de información auténtica de varias personas y crear identidades sintéticas convincentes a gran escala.

Estos métodos se suelen utilizar combinados, lo que permite a los estafadores crear identidades sintéticas difíciles de detectar. La variedad y la complejidad de estas técnicas repercuten en los crecientes retos que plantea la lucha contra el fraude de identidad sintética en el sector financiero.

El fraude de identidad sintética supone un riesgo para la identidad digital, tanto para las personas como para las empresas, con consecuencias devastadoras que pueden persistir durante años. Comprender estos peligros es fundamental para reconocer y combatir esta amenaza creciente.

• Pérdidas financieras para las empresas: El fraude de identidad sintética es uno de los tipos de actividad fraudulenta que más rápido está creciendo. Un estudio de Equifax identificó pérdidas potenciales de 300 millones de dólares para el sector de las tarjetas de crédito y de 25 millones de dólares para los proveedores de telecomunicaciones y servicios públicos en solo 12 meses.
• Impacto a largo plazo en las personas: Los jóvenes son especialmente vulnerables, ya que su crédito puede verse comprometido durante años antes de que se detecten amenazas externas. Durante ese tiempo, las víctimas pueden tener dificultades para obtener crédito, préstamos o empleo debido a su historial crediticio dañado.
• Debilitamiento de los sistemas de crédito: La prevalencia generalizada de las identidades sintéticas disminuye la confianza en los sistemas de información crediticia y de concesión de préstamos. A su vez, las instituciones financieras se ven obligadas a endurecer sus criterios de concesión de préstamos, lo que dificulta cada vez más el acceso al crédito a los consumidores legítimos.
• Facilitación de otros delitos: El uso delictivo de identidades falsas plantea peligros que van más allá de las pérdidas económicas inmediatas. Las identidades sintéticas pueden utilizarse para el blanqueo de capitales, la financiación del terrorismo u otras actividades ilícitas.
• Retos para la detección del fraude: Los métodos tradicionales de detección del fraude a menudo no pueden identificar las identidades sintéticas. La imposibilidad de identificar a un consumidor concreto que haya sido víctima hace que sea difícil detectar a los autores de las amenazas y cuantificar las pérdidas.
• Aumento de los costes para las empresas y los consumidores: Las organizaciones pueden realizar importantes inversiones en sistemas avanzados de detección del fraude para combatir el robo de identidades sintéticas. Estos costes se repercuten posteriormente en los consumidores a través de tarifas o tipos de interés más elevados.
• Preocupaciones por la privacidad de los datos: La creación de identidades sintéticas suele basarse en el robo de información de identificación personal a partir de filtraciones de datos. Esto perpetúa un ciclo continuo de uso indebido y robo de datos, lo que suscita preocupaciones sobre la privacidad y la protección de los datos en general.

Los peligros del fraude de identidad sintética van mucho más allá de las pérdidas económicas inmediatas, ya que afectan a la integridad de las instituciones financieras, los perfiles crediticios individuales y la confianza de la sociedad en las identidades digitales.

Detectar el fraude de identidad sintética es una tarea ardua, pero hay varias señales de alerta a las que hay que prestar atención y estrategias fundamentales que se pueden aprovechar, entre ellas:

• Características inusuales en el historial crediticio: Cambios repentinos en la actividad crediticia, aumentos rápidos de la puntuación crediticia o perfiles crediticios con un historial escaso o breve.
• Información discordante: Discrepancias entre la información proporcionada y los registros oficiales o incoherencias en los datos personales en diferentes bases de datos.
• Anomalías en el comportamiento: Múltiples solicitudes de crédito en un breve periodo de tiempo o cuentas que muestran patrones de creación de crédito seguidos de transacciones repentinas de alto valor.
• Procesos de verificación mejorados: Las organizaciones pueden añadir niveles de autenticación y utilizar preguntas de autenticación basadas en el conocimiento.
• Auditorías periódicas: Las instituciones deben realizar revisiones periódicas de las cuentas, especialmente aquellas con un historial limitado, y supervisar las cuentas de los usuarios autorizados en busca de patrones sospechosos.
• Comprobaciones en redes sociales y presencia en línea: Verificar la coherencia de la huella digital y comprobar los perfiles en redes sociales en busca de signos de autenticidad puede ayudar a detectar el fraude de identidad sintética.

Con estos métodos de detección y manteniendo la vigilancia ante las señales de alerta, las empresas y los particulares pueden mejorar su capacidad para identificar y prevenir el fraude de identidad sintética.

La protección contra el fraude de identidad sintética requiere tanto soluciones tecnológicas como vigilancia personal. A continuación, se indican algunas formas eficaces de defenderse contra estas amenazas.

Proteger su información personal

Las personas deben tomar precauciones para proteger sus números de la Seguridad Social y otra información de identificación personal. Esto incluye proteger los documentos físicos, triturar los documentos confidenciales y evitar compartir los números de la Seguridad Social innecesariamente. El uso de software de seguridad digital puede proteger aún más los datos personales frente a los hackers y el malware.

Supervisión crediticia periódica

Revisar periódicamente los informes crediticios y supervisar las puntuaciones crediticias puede ayudar a proteger a las instituciones frente al robo de identidad sintético en una fase temprana. Los cambios inesperados o la información desconocida en los informes crediticios pueden indicar una actividad fraudulenta.

Concienciación sobre la ingeniería social

Se debe educar a los consumidores y a los empleados sobre las tácticas comunes de ingeniería social, como las estafas de phishing. Hay que desconfiar de las comunicaciones inesperadas que afirman provenir de fuentes legítimas y solicitan información personal.

Análisis avanzado y aprendizaje automático

Las organizaciones pueden emplear algoritmos de aprendizaje automático para analizar grandes volúmenes de datos e identificar patrones asociados con identidades sintéticas. Estos sistemas pueden procesar grandes conjuntos de datos rápidamente, evaluando los factores de riesgo y señalando las actividades sospechosas en tiempo real.

Verificación de la identidad digital

La implementación de sistemas robustos de verificación de identidad digital puede reducir el riesgo de fraude de identidad sintética. Estos sistemas utilizan una combinación de verificación de documentos, detección de vida y autenticación multifactor para garantizar que la persona que crea una cuenta es quien dice ser.

Proofpoint ofrece un conjunto completo de soluciones de ciberseguridad diseñadas para proteger contra el fraude de identidad. Al aprovechar la inteligencia avanzada sobre amenazas y el aprendizaje automático, los productos de Proofpoint pueden detectar y mitigar los riesgos asociados con las identidades sintéticas.

Por ejemplo, las soluciones de seguridad para el correo electrónico de Proofpoint pueden identificar y bloquear los intentos de phishing que suelen ser el primer paso para recopilar información personal con el fin de crear identidades sintéticas. Además, sus servicios de protección contra riesgos digitales supervisan la web oscura y otros mercados ilícitos en línea en busca de datos personales robados, alertando a las organizaciones de posibles amenazas antes de que puedan ser explotadas.

Las soluciones de detección y respuesta a amenazas de identidad (ITDR, del inglés “Identity Threat Detection and Response”) de Proofpoint proporcionan defensas sólidas contra el fraude de identidad sintética. Estas herramientas analizan el comportamiento de los usuarios y sus huellas digitales para identificar anomalías que puedan indicar la presencia de identidades sintéticas. Al integrar la autenticación multifactor y la supervisión continua, Proofpoint garantiza que solo los usuarios legítimos puedan acceder a los sistemas y datos confidenciales.

Este enfoque proactivo no solo ayuda a detectar identidades sintéticas de forma temprana, sino que también mejora la postura de seguridad general, lo que dificulta considerablemente el éxito de los estafadores. Para obtener más información, póngase en contacto con Proofpoint.