El auge del comercio digital, la bancarización no tradicional y los nuevos métodos de pago han abierto múltiples vectores de exposición al fraude de identidad sintética. Las plataformas de servicios de pago (PSP), las carteras digitales y los pagos instantáneos se han convertido en blancos frecuentes.
El panorama de la cibercriminalidad evoluciona continuamente y una de las amenazas en aumento es el llamado fraude de identidad sintética (SIF, por sus siglas en inglés). Se trata de un tipo de engaño por el que los delincuentes crean una personalidad ficticia combinando información real y falsa, y tiene a las entidades financieras como principal objetivo. Para ello, utilizan un número de la seguridad social real adquirido a través de alguna brecha de seguridad y lo asocian a un nombre, fecha de nacimiento y otros datos personales falsos. La identidad se utiliza entonces para abrir cuentas, obtener créditos y cometer diversos tipos de fraude financiero.
El peligro está en que los sistemas tradicionales de detección suelen pasar por alto este complejo patrón, siendo el tipo de delito financiero de más rápido crecimiento, según el London Stock Exchange Group. Para combatir esta amenaza, hay cinco claves que las entidades financieras deberían tener en cuenta para defenderse a sí mismas y a sus clientes.
Evaluación y medición de la exposición
Aplicando métodos avanzados de categorización para rastrear y notificar las pérdidas y la actividad fraudulenta, las entidades tendrán una imagen más clara de su impacto. Este conocimiento más profundo ayudará a desarrollar un plan de contramedidas específicas, reforzando las defensas contra las actividades fraudulentas en última instancia. Para lograrlo, las entidades financieras pueden realizar auditorías internas sobre las pérdidas atribuibles a identidades sintéticas, incorporar herramientas de categorización inteligente basadas en machine learning para rastrear patrones atípicos o utilizar técnicas de entity resolution para detectar combinaciones sospechosas de datos transaccionales.
Conocer la normativa
En la actualidad, todos los bancos están conectados globalmente. Esto significa que todos ellos, así como las empresas que prestan sus servicios, están sujetos a la nueva normativa mundial sobre privacidad y ciberseguridad. Esto faculta a los bancos para aplicar sólidas medidas antifraude, al tiempo que cumplen plenamente con los estándares que marca la ley. Esta alineación protege a la institución frente a posibles repercusiones legales y mejora su capacidad para combatir eficazmente las actividades fraudulentas, garantizando un entorno bancario seguro y de confianza. Por ello, es necesario alinear las prácticas internas con normativas como GDPR, la Ley de Protección de Datos Financieros (GLBA), y directrices de FATF.
Además, las entidades deberán implementar marcos de trabajo de gestión de riesgos integrados (IRM) que faciliten la trazabilidad de incidentes y la respuesta ágil y fomentar la interoperabilidad con marcos internacionales ante la creciente digitalización y globalización de los servicios financieros.
La importancia del cifrado
¿Cómo se puede hacer el mejor uso de la información de identificación personal (IIP) sin dejar de protegerla? Las herramientas de cifrado homomórfico y tokenización pueden enmascarar la IIP y, al mismo tiempo, permitir su uso en sistemas avanzados de detección del fraude y por parte de analistas cualificados, que pueden acceder a datos sensibles sin exponer su contenido.
Últimas tecnologías adaptadas a necesidades específicas
Se necesitan plataformas que puedan dar cabida a conjuntos de datos masivos que incluyan información procedente de la incorporación de clientes, informes de crédito, transacciones, datos de aplicaciones, metadatos de dispositivos y canales, redes sociales y contenidos de terceros. Será fundamental una infraestructura de TI que permita agregar y analizar fuentes de datos estructurados y no estructurados para proporcionar visibilidad y control en todas las operaciones.
La capacidad de integrar la IA explicable (XAI) y el aprendizaje automático que pueda identificar patrones sintéticos no evidentes para humanos o reglas tradicionales en todo su parque informático será otro elemento esencial. También será útil aplicar técnicas de análisis de redes (graph analytics) para detectar vínculos sospechosos entre identidades aparentemente no relacionadas.
Crear, formar y apoyar un equipo de respuesta rápido
Los tiempos de planificar las operaciones del negocio y de la tecnología de forma aislada han quedado atrás. Las organizaciones de éxito comparten información entre las diferentes líneas de negocio y toman decisiones conjuntamente. El equipo de respuesta rápida debe tener los conocimientos técnicos y la perspicacia empresarial necesarios para identificar y documentar la actividad de SIF, así como aplicar contramedidas rápidamente, sin perder de vista las prioridades empresariales y técnicas. Esto implica formar unidades híbridas con perfiles tanto técnicos como de negocio. Además, es recomendable incorporar sistemas de respuesta automática (SOAR) que integren señales de fraude en tiempo real, así como fomentar una cultura organizacional centrada en la resiliencia cibernética y la toma de decisiones basadas en datos.
En definitiva, el fraude de identidad sintética está cogiendo desprevenidas a muchas instituciones financieras porque evoluciona con rapidez. Sin embargo, una preparación adecuada puede anular esta ventaja y minimizar el impacto en el negocio cuando se produzcan los inevitables ataques.
Tribuna de Jean Ferdinand, Head of Payments & Specialized Finance en Kyndryl.
Por Funds Society, Madrid
