Actualmente se estima que las pérdidas por identidades falsas representan 80% del fraude total global con tarjetas de crédito. En noviembre pasado, el fraude de identidad sintética alcanzaba cifras de $6,000 millones de dólares en Estados Unidos. ¿Por qué es tan popular este tipo de ataque y en qué reside la dificultad para identificarlo?
El aislamiento social para evitar contagios de Covid-19 sumado a los cierres preventivos de comercios han motivado el crecimiento del comercio electrónico y el aumento en el uso de banca en línea. De acuerdo con la Asociación Mexicana de Ventas Online (AMVO) durante 2020 las ventas en línea crecieron 81% en el país, con transacciones que sumaron $316,000 millones de pesos.
Sin embargo, los delitos y fraudes financieros también aumentaron. Los ciberatacantes se han vuelto más sofisticados para robar datos y dinero. Una técnica que está en auge es el “fraude de identidad sintética”. Este consiste en crear identidades falsas combinando información real de una o varias personas (acerca de su empleo, lugar de residencia, estados financieros, etc.) con datos falsos que dan como resultado un “individuo nuevo”, que busca acceso a bienes o servicios. Las filtraciones de datos que sufren las compañías alimentan este negocio.
Este fraude resulta sumamente difícil de rastrear. Es complicado que una persona en tiempo real pueda identificar que alguien está usando alguno de sus datos; se da cuenta de ello cuando ya se han generado adeudos y enfrenta procesos de cobro o cuando se ve afectada su calificación crediticia.
Los primeros afectados por el robo de identidad sintética son los acreedores. Sin saberlo, otorgan crédito o financiamiento a los estafadores. La segunda víctima es el usuario, quien de pronto recibe puntuaciones negativas en su historial crediticio, lo que dificulta que tenga acceso a otros productos o servicios, o bien, tiene que enfrentar procesos aclaratorios que pueden resultar engorrosos.
Características de una identidad sintética
Entre las características de una identidad sintética están:
- Los expedientes de crédito tienen inconsistencias con la edad del cliente u otra información del perfil.
- Múltiples identidades con el mismo número de seguridad social.
- Múltiples aplicaciones desde el mismo número telefónico, dirección física o dirección IP.
- Uso de líneas de crédito seguras o piggybacking para formar historial crediticio.
- Número de seguridad social emitido después de 2011.
- Múltiples usuarios autorizados en la misma cuenta.
En 2020, el FBI consideraba que en Estados Unidos el robo de identidad sintética era el de más rápido crecimiento. Entre sus víctimas estaban los ciudadanos más vulnerables de la sociedad: los niños y los ancianos.
La National Credit Union Association de Estados Unidos considera que el fraude de identidad sintética ha crecido porque el principal identificador de una persona es su número de seguridad social, que por sí solo no permite inferir algún atributo del individuo. En México, el RFC juega un rol similar.
En noviembre pasado, Thomson Reuters reportaba que ante el crecimiento de este problema, Auriemma Group, firma de consultoría e información para la industria de pagos y préstamos, el fraude de identidad sintética alcanzaba cifras de $6,000 millones de dólares y aproximadamente 20% de créditos perdidos por su causa.
Un estudio de la Reserva Federal del Banco de Boston indica que los modelos de fraude tradicional no detectan las identidades sintéticas: fueron ineficientes para identificar entre 85% y 95% de este tipo de casos: “Para mitigarlos no hay una solución sencilla. Hay que considerar factores como el entorno regulatorio, el avance tecnológico y los cambios en las tácticas que usan los defraudadores, que evolucionan constantemente”.
Suma de problemas
De acuerdo con el reporte del Banco de Boston, en 2018 se expusieron más de 446 millones de récords, cifra que representa un crecimiento de 126% respecto al año anterior.
Cabe recordar que según el Cost of a Data Breach Report 2019, estudio anual que realiza el Instituto Ponemon, auspiciado por IBM, se estima que las empresas afectadas pierden en promedio $3.92 millones de dólares después de una vulneración de datos.
En los tres años previos a este estudio, se calculó que el sector empresarial sufrió el robo de más de 11,700 millones de registros. Cada uno de ellos le costó $150 dólares en promedio a las compañías. Pero, ¿qué otro impacto tiene ese tipo de vulneraciones?
Luego de una vulneración, esos registros se ponen a la venta en la Dark Web; puede tratarse de credenciales de acceso a cuentas bancarias, licencias de manejo, números de tarjetas de crédito y de seguridad social.
La respuesta requiere trabajo conjunto
Per se, el robo de identidad ya era un tema preocupante. La abogada mexicana Cynthia Solís ha señalado previamente que un banco sabe cuánto gasta el cuentahabiente, en qué lo gasta, cada cuándo y hasta con quién lo gasta: “Si esa información cae en manos de un ciberatacante o alguien que no tenga fines lícitos puede poner en peligro a quien genera esos datos”.
Hoy, el fraude de identidad sintética está sobrepasando al robo de identidad. Y tampoco se trata de un delito nuevo. En 2013, el FBI reportó el caso de 18 personas que robaron $200 millones de dólares luego de crear 7,000 identidades falsas. La solución no parece que sea sencilla. La evolución constante en las tácticas fraudulentas complica más el escenario.
Jim Cunha, vicepresidente senior de la Federal Reserve Bank of Boston, afirma que por los efectos que tiene en el sistema financiero de Estados Unidos, este tipo de fraude no es un problema que pueda resolver una organización o industria de manera independiente.
Entre las conclusiones del estudio del Banco de Boston, sugieren que un acercamiento holístico al problema sería la manera más efectiva de mitigar los fraudes de identidad sintética. También se requerirá innovación tecnológica, soluciones robustas de datos para la verificación de identidad y un trabajo coordinado entre el sector privado, organizaciones que pueden ayudar a la industria y las dependencias gubernamentales.
Algunas esperanzas están puestas en soluciones de AI y ML que ayuden a analizar datos de manera más efectiva que solamente con participación humana.