En los últimos años estamos asistiendo a una transformación radical en la forma en que se comete el fraude de identidad. No hace mucho tuve la oportunidad de participar en una entrevista organizada por la Asociación Española de Empresas Contra el Fraude (AEECF), donde compartimos algunas de las principales conclusiones de nuestro Informe de Inteligencia de Identidad 2024. Este estudio, elaborado por Mitek, recoge la opinión de más de 1.500 profesionales del ámbito financiero a nivel global —500 de ellos en España— sobre los retos actuales en la verificación de identidad y la lucha contra el fraude.
Uno de los resultados destacados del informe es que el 37% de los encuestados ve la inteligencia artificial como una amenaza creciente. Y no es para menos: la democratización de herramientas de IA generativa ha hecho que falsificar una imagen, una voz o incluso crear un vídeo deepfake sea algo al alcance de cualquiera, incluidos los delincuentes. Ya no estamos hablando de riesgos hipotéticos, sino de casos reales que vemos cada vez con más frecuencia.
Las identidades sintéticas
Otro fenómeno que está cobrando protagonismo es el de las identidades sintéticas. Son perfiles creados combinando datos reales y ficticios, lo que los convierte en áltamente difíciles de detectar. Este tipo de fraude aprovecha la capacidad de la IA para construir identidades creíbles, pero en realidad falsas, que pueden engañar a los sistemas más tradicionales. Los estafadores obtienen datos personales reales a través de brechas de seguridad, en el mercado negro o de datos de personas fallecidas y los combinan con información ficticia, utilizando las últimas tecnologías. Detectar identidades sintéticas es un desafío, pero existen señales de alerta como inconsistencias en la información, patrones sospechosos de actividad y el uso de datos de personas vulnerables que ayudan a encontrarlo y detenerlo.
Frente a esta evolución del fraude, las empresas deben avanzar con la misma rapidez. No basta con implementar controles en el momento inicial de incorporación del cliente; es esencial aplicar medidas de seguridad a lo largo de todo su ciclo de vida. La validación documental con tecnología NFC, las pruebas de vida pasivas —que verifican si el usuario es real sin que tenga que realizar gestos activos—, o la detección de ataques de presentación (imágenes o vídeos falsos mostrados ante una cámara) son ejemplos de buenas prácticas ya imprescindibles.
También hablamos de los ataques de inyección, en los que los delincuentes insertan vídeos o imágenes manipuladas directamente en los sistemas mediante cámaras virtuales o código malicioso. Estos ataques pueden incluir la inyección de vídeos deepfake en sistemas de reconocimiento facial, donde los atacantes utilizan IA para crear vídeos falsos de personas reales. Aquí, garantizar la autenticidad de los datos biométricos en el momento exacto de su captura es vital.
Pero más allá de las amenazas tecnológicas, hay un reto aún mayor: equilibrar seguridad, experiencia de usuario y cumplimiento normativo. Las empresas debemos protegernos, pero sin generar fricción innecesaria para nuestros clientes, y al mismo tiempo cumplir con regulaciones cada vez más exigentes en materia de privacidad, IA, y prevención del blanqueo de capitales.
Por último, quiero destacar algo que considero esencial: la colaboración. Dentro de las organizaciones, es fundamental que áreas como fraude, ciberseguridad, legal, compliance y producto trabajen de manera conjunta. Y también necesitamos colaborar como industria: compartir conocimientos, aprendizajes y estrategias. En este sentido, la labor de asociaciones como la AEECF es fundamental, no solo como espacio de encuentro, sino como motor de compromiso y avance colectivo.
El fraude de identidad ha cambiado. Las organizaciones que lideren esta transformación serán aquellas capaces de combinar tecnología, estrategia y colaboración para protegerse en un entorno cada vez más complejo.
