Luego del revuelo que causó el conocimiento del
sitio OnlyFake
para crear documentación falsa, es bueno conocer el crecimiento que ha tenido
el
fraude a través Identidad Sintética (Synthetic Identity Fraud – SIF).
En 2020,
el FBI identificó
el fraude de identidad sintética (SIF) como
el tipo de delito financiero de más rápido crecimiento. Este artículo tiene como objetivo explicar qué es SIF, por qué es
importante y qué pueden hacer las empresas para prevenirlo.
Por Diego Pacheco-Páramo
Uno de los métodos de fraude asociado a la identidad que ha ganado más
relevancia en los últimos años ha sido el de la creación de identidades
sintéticas. Estas identidades usan atributos de identidades reales, mezclados
con atributos falsos y presentados a entidades para cometer fraude a nombre de
otras personas. En este documento profundizamos acerca de cómo se crean las
identidades sintéticas y de los mecanismos que ayudan a tener confianza en las
identidades presentadas.
El término identidades sintéticas hace referencia a identidades creadas por
defraudadores, las cuales mezclan atributos de personas reales con atributos
ficticios para abrir productos financieros.
La razón por la cual se utilizan atributos reales, es que de esta forma se
está en capacidad de superar algunos filtros de seguridad y así ir
fortaleciendo la identidad sintética para en un momento determinado usarla
para defraudar a comercios o entidades financieras. Como es de esperarse, al
usar atributos de la identidad de personas reales, estas quedan asociadas al
fraude y son gravemente perjudicadas, algunas veces enterándose años después
de cometido el fraude.
El robo de identidad y el fraude de identidad sintética son similares en que
ambos implican el uso no autorizado de información personal. Sin embargo, hay
una diferencia importante entre los dos.
-
El robo de identidad se refiere al uso no autorizado de información
personal real de alguien, como su nombre, número de Seguro Social, fecha de
nacimiento, número de cuenta bancaria, etc. Los ladrones utilizan esta
información para abrir cuentas de crédito, solicitar préstamos, hacer
compras y cometer otros delitos financieros en el nombre de la víctima. -
Por otro lado, el fraude de identidad sintética se refiere al uso de
información falsa o inventada para crear una identidad completamente nueva.
Los ladrones pueden emplear esta identidad para abrir cuentas de crédito,
solicitar préstamos, obtener servicios públicos y cometer otros delitos
financieros.
De acuerdo al National Credit Union Association [NCU2020], en los Estados
Unidos este problema se ha acentuado en parte debido a que el identificador
principal es el número de seguridad social, el cual actualmente por sí solo no
permite inferir ningún tipo de atributo de la persona, lo cual puede hacer que
por ejemplo se utilice el número de seguridad social de un niño para abrir una
cuenta.
Adicionalmente, este tipo de fraude no se suele realizar por una persona
aislada, sino que se trata de grupos coordinados que ayudan a robustecer estas
identidades falsas, elevando el nivel de las transacciones fraudulentas
[CAR2019]. Esto se entiende al observar que las pérdidas asociadas a este tipo
de fraude se calcularon en $820 millones de USD en 2017, y se proyectaban en
$1200 millones para 2020 [CON2018]. Un caso reconocido ocurrió en 2013, cuando
un grupo de 13 personas crearon 7 mil identidades falsas para robar $200
millones de USD [FBI2013].
Como lo mencionamos anteriormente, para la creación de la identidad sintética
se requiere contar con algún atributo real de una persona existente. Este
atributo de origen puede ser contrastado por alguna institución financiera, y
sobre este se empiezan a relacionar otros atributos falsos, que le servirán al
defraudador para fortalecer la identidad y hacerle creer a las instituciones
que interactúan con una persona real.
Debido en gran parte a las constantes fugas de información que sufren las
empresas que guardan información personal identificable, atributos como
nombres, direcciones, números de documentos o incluso de cuentas bancarias
se pueden asociar a una identidad física.
Si esta información se presenta a una entidad que no realice una gestión
adecuada, se podría usar esta información para abrir una cuenta bancaria. Con
esta cuenta se podría abrir un microcrédito, que podría ser pagado, lo cual
robustecería la confianza sobre esta identidad.
Como es de esperarse, algunos atributos como la dirección, el correo
electrónico o la foto del individuo se reemplazaría con información del
defraudador. Una vez se tenga una confianza suficiente, o el score crediticio
sea lo suficientemente alto, el defraudador podría pedir un préstamo que no
pagaría, ejecutando el fraude. Como se puede ver, el éxito de la identidad
sintética se basa en establecer confianza sobre un conjunto de atributos que
están asociados de manera equivoca a una identidad física. Por lo tanto, las
soluciones que buscan detectar una identidad sintética se suelen basar en la
evaluación de los atributos de la identidad.
¿Cómo funciona?
En este tipo de fraude, los delincuentes utilizan información personal de
diferentes personas, como nombres, direcciones, números de seguridad social,
fechas de nacimiento, entre otros, para crear una identidad falsa que no
pertenece a ninguna persona real.
El proceso de cometer fraude de
identidad sintética suele contener los siguientes pasos:
-
Recopilación de información: los delincuentes recopilan información personal
de diferentes fuentes, como bases de datos públicas, redes sociales,
registros de crédito, entre otros. -
Creación de la identidad falsa: los delincuentes combinan la información
recopilada para crear una nueva identidad falsa. En algunos casos, pueden
incluso utilizar información falsa para completar la identidad. -
Verificación de la identidad: los delincuentes usan la nueva identidad falsa
para solicitar servicios financieros, como tarjetas de crédito, préstamos,
cuentas bancarias, entre otros. En algunos casos, pueden incluso solicitar
empleo o servicios gubernamentales. -
Construcción de la identidad: los delincuentes construyen la identidad falsa
a lo largo del tiempo, utilizando la información y los servicios financieros
para mejorar la credibilidad de la identidad. -
Uso fraudulento: una vez que la identidad falsa ha sido construida, los
delincuentes pueden emplearla para llevar a cabo diferentes tipos de fraude,
como el robo de identidad, el fraude en tarjetas de crédito, el lavado de
dinero, entre otros.
El fraude de identidad sintética puede ser difícil de detectar, ya que los
delincuentes usan información real para crear la identidad falsa. Además, los
delincuentes también pueden utilizar diferentes identidades falsas para llevar
a cabo sus actividades fraudulentas, lo que hace que sea difícil rastrearlos.
¿Cómo detectar identidades sintéticas?
Como lo mencionamos en la sección anterior, el fraude por identidades
sintéticas se basa en un error a la hora de confiar en que algunos atributos
se pueden asociar con una identidad física. El defraudador hábilmente
construye confianza sobre estos atributos, basándose en una interacción
inicial donde se usa un atributo real. Por lo tanto, tiene sentido que las
soluciones que buscan detectar una identidad sintética se basen en analizar la
calidad de los atributos y en cómo asignar de manera correcta un grado de
confianza en cada uno de ellos.
En [MCK2019], se resalta la dificultad de que los sistemas de detección de
fraude basados en aprendizaje de máquina detecten este tipo de casos debido a
que muchas veces se confunden con casos de no-pago, generando dificultades
para el entrenamiento. Para evitar rechazar a clientes reales, proponen una
evaluación de atributos basado en 2 dimensiones: profundidad y consistencia.
Con profundidad hacen referencia a la historia del atributo. Por
ejemplo, en el caso de un número de teléfono puede ser útil saber si este
existe hace un tiempo considerable. Con consistencia hacen referencia a
las relaciones que se dan entre diferentes fuentes de información, y como
estos coinciden en los atributos que presentan. Por ejemplo, si se ve que hay
coincidencia entre la dirección física registrada en la cuenta del banco y en
la información que presenta en un formulario, se puede decir que es un
atributo que presenta consistencia. Tomando cada atributo, y evaluándolo bajo
estas dos características, se puede realizar una evaluación general de la
identidad presentada, y según ellos, mitigar efectivamente el riesgo de
aceptar una identidad sintética por medio de un modelo de riesgo que castiga
las identidades poco profundas y con poca consistencia.
En [SOE2014], se presenta un «ecosistema de identidad», el cual permite
evaluar el nivel de riesgo de los atributos presentados, en función de la
probabilidad de que sean comprometidos. Como lo mencionamos en la sección
anterior, desafortunadamente atributos de nuestra identidad pueden estar
disponibles para terceros. Si existe certeza de que un atributo en específico
está disponible para terceros, es de esperarse que una entidad considere que
este atributo no es suficiente por sí solo para probar la identidad de una
persona.
Por lo tanto, lo que se busca hacer en esta solución es cuantificar el
nivel de riesgo de cada uno de los atributos basándose en la forma en
que estos atributos se presentan y como se relacionan entre ellos. Por
ejemplo, en la cédula de ciudadanía colombiana aparecen los nombres, apellidos
y fecha de nacimiento de una persona. Por lo tanto, si se le pierde a alguien
la cédula, es de esperarse que un tercero que tenga los nombres de esa persona
también tenga la fecha de nacimiento. Pero así como existe la cédula, existen
muchas otras fuentes de información personal identificable, que relacionan los
atributos de una identidad. Esto permite tener un modelo que asigna un nivel
de riesgo para cada atributo, indicándole a la entidad el grado de confianza
que puede tener en las identidades presentadas.
Por otro lado, Equifax [EQU2019] propone una evaluación de atributos para
detectar identidades sintéticas basado en la generación de perfiles y su
relación con atributos generados por diferentes fuentes de información. El
objetivo de este sistema es detectar inconsistencias entre los atributos
presentados por las diferentes fuentes de información, o relaciones entre los
atributos presentados y los de aquellos perfiles que han estado relacionados
con algún tipo de fraude. Este último aspecto es relevante ya que una de las
características que tiene el fraude basado en identidades sintéticas es que
suele apoyarse en perfiles que tienen un alto score crediticio. De esta
manera, es más fácil identificar patrones de abuso.
Conclusiones
El uso de identidades sintéticas se basa en la dificultad de asociar un nivel
de confianza a los atributos presentados, ya que muchas veces estos no pueden
ser corroborados como en el caso de los números de seguridad social en Estados
Unidos. Por lo tanto, se hace necesario evaluar la confianza entregada a cada
uno de los atributos presentados. Las soluciones observadas utilizan criterios
como la consistencia y la profundidad para garantizar la calidad de los
atributos asociados a la identidad presentada. Esto se hace muy importante si
tenemos en cuenta que muchos de los atributos de nuestra identidad se
encuentran fuera de nuestro control debido al mal manejo de nuestros datos
personales, fugas de información, o simplemente por compartir nuestros datos
personales en lugares públicos.
Bibliografía
-
[NCU2020] Synthetic Identities Are One of the Fastest Growing Forms of
Identity Theft. National Credit Union Administration Report. Februrary 2020.
https://www.ncua.gov/newsroom/ncua-report/2018/synthetic-identities-are-one-fastest-growing-forms-identity-theft
-
[CAR2019] Tutorial: why Fraud Matters and what to do about it. J. Care.
Gartner. 2019 -
[CON2018] Synthetic Identity Fraud: The Elephant in the Room.” J. Conroy.
Digital Banking Customer Engagement: Aite Group, 3 May 2018 -
[FBI2013] Eighteen People Charged in International $200 Million Credit Card
Fraud Scam. FBI
https://archives.fbi.gov/archives/newark/press-releases/2013/eighteen-people-charged-in-international-200-million-credit-card-fraud-scam
-
[MCK2019] Fighting back against synthetic identity fraud. B. Richardson and
D. Waldron. Mc Kinsey & Company. Enero 2019 -
[SOE2014] TRUSTWORTHINESS OF IDENTITY ATTRIBUTES.B. Soeder y K. Barber. SIN
’14: Proceedings of the 7th International Conference on Security of
Information and Networks. Septiembre 2014. -
[EQU2019] SYNTHETIC ONLINE ENTITY DETECTION. Pub . No.: US 2019 / 0164173
A1. Equifax Inc., Mayo 2019
Fuente:
Reconoserid
|
AliceBiometrics
Los comentarios están cerrados.