Fraude financiero con identidades sintéticas repunta y amenaza con pérdidas de 3.300 millones de dólares

Introducción

Tras una breve disminución durante la pandemia, el fraude financiero basado en identidades sintéticas ha resurgido con fuerza, situándose nuevamente como una de las principales amenazas para el sector bancario y las entidades financieras. Los últimos informes apuntan a que las pérdidas potenciales derivadas de la apertura de nuevas cuentas fraudulentas podrían alcanzar los 3.300 millones de dólares este año, lo que pone en entredicho la eficacia de los mecanismos tradicionales de autenticación y prevención implementados por muchas organizaciones.

Contexto del Incidente o Vulnerabilidad

El fraude por identidades sintéticas consiste en la creación de identidades ficticias a partir de la combinación de información real y falsa (por ejemplo, un número de la Seguridad Social legítimo junto a un nombre inventado). Estas identidades se utilizan para abrir cuentas bancarias, solicitar créditos o realizar transacciones financieras, eludiendo los controles convencionales de verificación de identidad. Durante la pandemia, la actividad fraudulenta se redujo debido a las restricciones operativas y la menor movilidad, pero la reactivación económica y el auge de los servicios digitales han propiciado un nuevo incremento en la actividad de los actores maliciosos.

Detalles Técnicos

Las técnicas empleadas en fraudes de identidad sintética se apoyan en la explotación de vulnerabilidades en los sistemas de onboarding digital y KYC (Know Your Customer). Los atacantes suelen adquirir datos personales filtrados en brechas de seguridad o a través de la dark web, combinando estos con información ficticia para crear perfiles convincentes. Entre los vectores de ataque más relevantes destacan:

– Uso de datos robados: Números de la Seguridad Social, fechas de nacimiento y direcciones reales obtenidas en brechas previas (por ejemplo, Equifax).
– Automatización de procesos: Herramientas como Selenium o scripts personalizados para automatizar la creación masiva de cuentas.
– Técnicas de evasión: Uso de VPN, proxies y dispositivos virtualizados para eludir sistemas de detección basados en IP o huella digital.
– Frameworks y TTPs: Se han observado campañas que emplean TTPs alineados con la matriz MITRE ATT&CK, particularmente los relacionados con la sub-técnica T1078 (Valid Accounts) y T1190 (Exploit Public-Facing Application).
– CVEs relevantes: Aunque no existe un CVE específico para este fraude, la explotación de vulnerabilidades en APIs de verificación de identidad (por ejemplo, CVE-2022-31129 en sistemas de autenticación) puede facilitar el proceso.
– IoC (Indicadores de Compromiso): Uso recurrente de dispositivos emulados, patrones de acceso desde direcciones IP asociadas a servicios de anonimización y coincidencias en campos de información personal entre cuentas aparentemente distintas.

Impacto y Riesgos

Las consecuencias del fraude con identidades sintéticas son graves tanto a nivel económico como reputacional. Se estima que, solo en Estados Unidos, el 85% de las pérdidas por fraude de cuentas nuevas están relacionadas con identidades sintéticas. El coste medio por incidente supera los 6.000 dólares, y se prevé que el volumen global de daños alcance los 3.300 millones en 2024. A nivel operativo, la detección de este tipo de fraude implica un elevado consumo de recursos, y el riesgo de incumplimiento normativo (GDPR, NIS2) es significativo ante la posibilidad de no identificar adecuadamente a los clientes.

Medidas de Mitigación y Recomendaciones

Para contrarrestar esta amenaza, los expertos recomiendan una estrategia defensiva multicapa:

– Refuerzo de los procesos KYC mediante soluciones de verificación biométrica y autenticación multifactor.
– Implementación de sistemas de análisis de comportamiento y machine learning para identificar patrones anómalos en la apertura de cuentas y el uso de servicios.
– Integración de feeds de inteligencia de amenazas que permitan identificar IoC asociados a campañas activas.
– Auditoría periódica de las APIs y plataformas de onboarding digital para mitigar vulnerabilidades conocidas (CVE).
– Cumplimiento estricto de la normativa GDPR y NIS2, manteniendo políticas de privacidad y protección de datos robustas.
– Formación continua para el personal de operaciones y ciberseguridad sobre las últimas tendencias en fraude de identidad.

Opinión de Expertos

Varios analistas del sector coinciden en que la sofisticación de los atacantes ha aumentado, dificultando la detección temprana de identidades sintéticas. Según John Buzzard, Lead Analyst de Javelin Strategy & Research, “la automatización y el acceso masivo a datos personales han convertido el fraude sintético en un problema estructural para la banca digital”. Por su parte, representantes de la ISACA insisten en la necesidad de adoptar frameworks de Zero Trust y de invertir en soluciones de inteligencia artificial para mitigar el riesgo.

Implicaciones para Empresas y Usuarios

Para las organizaciones financieras, el impacto va más allá de las pérdidas económicas: la proliferación de identidades sintéticas puede derivar en sanciones regulatorias, daños a la marca y pérdida de confianza de clientes e inversores. Los usuarios, por su parte, se exponen a la suplantación de identidad y al uso fraudulento de su información personal, con potenciales consecuencias legales y financieras.

Conclusiones

El resurgimiento del fraude ligado a identidades sintéticas representa un desafío crítico para la ciberseguridad financiera. La adaptación de los controles tradicionales y la inversión en tecnologías inteligentes resultan imprescindibles para contener una amenaza cuya sofisticación y escala no deja de crecer. Las entidades que prioricen la vigilancia proactiva y el cumplimiento normativo estarán mejor posicionadas para enfrentar este fenómeno en expansión.

(Fuente: www.darkreading.com)