Fraude de identidad sintética: cómo detectarlo y prevenirlo


Ya no es necesario que los delincuentes atraquen físicamente un banco para robar dinero: pueden hacerlo online, un método mucho más rápido, sencillo y eficaz. Y, aunque la tecnología de lucha contra el fraude va avanzando en su intento de contrarrestar el fraude de banca online, los fraudsters también evolucionan, creando un ciclo interminable de ataques.

El fraude de identidad sintética es un buen ejemplo de la forma en que los fraudsters explotan los puntos débiles de la seguridad bancaria online mediante el desarrollo de técnicas de ataque «exitosas».

 

¿Qué es el fraude de identidad sintética?

Las identidades sintéticas se crean utilizando una combinación de información personal identificativa (IPI) real y falsa o totalmente falsa, que después se utiliza para abrir cuentas bancarias ilegítimas.

La información falsa, que los delincuentes suelen obtener violando la seguridad de los datos de los clientes, puede conseguirse de forma muy económica en la web oscura o recabarse mediante técnicas de ingeniería social.

La ingeniería social está cobrando importancia en el ciberdelito debido a la mejora de la tecnología de ciberseguridad y lucha contra el fraude, una situación que ya pronosticamos para 2020.

Si alguien recibe una carta con su dirección, pero con un nombre equivocado, puede suponer que es para el anterior inquilino de la casa. Sin embargo, otra posibilidad es que un fraudster haya utilizado su dirección real junto con un nombre inventado para crear una nueva identidad sintética en un intento por eludir la seguridad del banco sin dejar rastro.

A los fraudsters les gusta utilizar IPI de personas sin apenas historial de crédito para que las entidades financieras no tengan expedientes anteriores, lo que hace menos probable que salten las alarmas. Por lo tanto, la información de los jóvenes es la más buscada por los fraudsters, porque estos carecen de historial de crédito.

Este tipo de fraude es extremadamente eficaz, tanto que es el tipo de delito financiero que más crece en EE. UU. según la Reserva Federal.

synthetic-identity-identidad-sintetica-01

Fraude de identidad sintética y delincuencia organizada

Las bandas organizadas de delincuentes suelen utilizar identidades sintéticas para abrir cientos de estos tipos de cuentas con la idea de mover el dinero entre ellas, tanto para blanquear capitales sin dejar rastro, utilizando cuentas mula, como para elevar las calificaciones de crédito de las cuentas mediante reembolsos inmediatos y ampliar los límites de crédito antes de esfumarse retirando todos los fondos posibles, sin ninguna intención de devolverlos.

Es asombrosa la tremenda magnitud de algunas de estas operaciones; como ya contamos en nuestro blog sobre el fraude de cuenta nueva, en la mayor operación llevada a cabo por el FBI se hallaron más de 7.000 identidades sintéticas.

Los delincuentes confían tanto en este método que, en ocasiones, se presentan a sí mismos como víctimas de su propio fraude de identidad.

En estos casos, roban de las cuentas que han configurado utilizando identidades sintéticas y denuncian el «robo» al banco para que este restablezca sus líneas de crédito.

Cuando el banco reintegra el dinero robado a la cuenta, el fraudster puede volver a robarlo. Y aunque seguramente el banco sospeche de la existencia de un fraude, no podrá rastrear la IPI falsa para dar con el delincuente.

cybercrime-protection-cibercrimen-03

¿Cómo funciona el fraude de identidad sintética?

Para ayudar a ilustrar la confianza que sienten los fraudsters al usar identidades sintéticas, podemos tomar el ejemplo de algo que ocurrió en el Reino Unido en 2017. Mark, un cliente legítimo, telefoneó a su banco para averiguar por qué habían bloqueado su tarjeta de débito y, al dar su nombre, el banco le preguntó a cuál de sus dos cuentas se estaba refiriendo.

Mark solo tenía una cuenta en el banco y la otra resultó ser una cuenta ilegítima abierta por un fraudster utilizando el nombre de Mark e inventando la información sobre su salario y su empleo. Aunque el Mark real ya tenía una cuenta en el banco con su información real, un fraudster se las había ingeniado para abrir otra a su nombre con datos personales que no coincidían.

 

¿Por qué resulta tan difícil detectar identidades sintéticas?

La mayoría de los sistemas de detección de riesgos no alertan sobre las identidades sintéticas porque las identidades falsas parecen de clientes reales con un historial de crédito limitado que solicitan una cuenta.

Esto, junto con el hecho de que normalmente no existe una víctima claramente identificable, hace que el delito pase fácilmente desapercibido hasta que el fraudster desaparece y deja de realizar reembolsos.

Es decir, los bancos no detectan las identidades sintéticas hasta que es demasiado tarde.

synthetic-identity-identidad-sintetica-02 

¿Cómo erradicar los fraudes de identidad sintética?

La generalización del uso de identidades sintéticas para cometer fraude bancario se debe a que están específicamente diseñadas para eludir los controles de seguridad y parece que la única forma de detectarlas es añadiendo más controles intrusivos a un proceso de onboarding que ya es complejo de por sí. Esto significa, inevitablemente, que los propios métodos utilizados para disuadir a los fraudsters también desanimarán a los clientes reales.

Por lo general, las identidades sintéticas son un síntoma de fraude de cuenta nueva, por lo que es vital evitar que esta información falsa corra por la red.

El proceso de perfilado continuo de usuarios, en el que se analiza de forma continua e invisible el comportamiento de cada usuario, puede diferenciar a los clientes legítimos de los fraudsters sin bloquear el proceso ni mandar clientes a la competencia.

Además, es fundamental averiguar quiénes son los fraudsters.

Mediante el análisis de su forma única de interactuar con el banco se puede crear un «ciberperfil», de manera que el banco pueda reconocer el comportamiento del fraudster en el futuro y evitar el fraude de identidad sintética.

Publicado por Jose Carlos Corrales

José has a track record of more than 10 years in the different areas of cybersecurity, boasting experience in managed security services, anti-fraud services, reverse engineering, malware analysis and many others, working as a middle manager, a project manager and a presales engineer in companies such as Telefónica and Deloitte, mainly in banking customers. He currently analyses the market to detect new functionalities that ensure our solution stays on the cutting-edge of anti-fraud and serves to solve our customers’ present problems.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo