ARTÍCULO DE OPINIÓN

Jason Abbott, director de soluciones antifraude en Provenir

Nos hemos acostumbrado a disfrutar de transacciones digitales sin fisuras y, por eso, las exigimos a cualquier servicio online, incluso a los que precisan de altos grados de seguridad y protección, como pueda ser cualquier interacción en la que se requiere un pago o incluso en la banca online. Esto ha llevado a algunas entidades a apostar por la comprobación instantánea de la identidad, con captura digital de documentos legales o soluciones de verificación con selfies. No hay duda de que se trata de soluciones aparentemente convenientes y objetivamente rápidas que han revolucionado la forma en la que muchas organizaciones interactúan con sus clientes.

Sin embargo, desde el punto de vista del fraude, la perspectiva es muy clara: la identificación instantánea no sirve para atajar las amenazas actuales. Al final estamos simplificando sobremanera la comprobación de la identidad de una persona: creemos que un documento escaneado es suficiente o que una comprobación en vivo puede ser convincente, pero la realidad es que esta visión es ingenua y está haciendo perder ya miles de millones de euros a muchas empresas en todo el mundo.

¿Por qué la verificación con un selfie o con una captura de un documento no es suficiente?

Las empresas, da igual el sector o el tamaño, están utilizando IA para resolver o al menos facilitar muchos de sus procesos. Pero los ciberdelincuentes también. Y la verdad es que existen herramientas muy accesibles de IA que ayudan a crear documentos muy realistas, da igual si es un pasaporte o un DNI, en segundos. Estas herramientas también generan vídeos deepfake que pueden ser validados por cualquier solución básica de comprobación de identidades. Además, los delincuentes pueden falsificar documentos y añadir su propia foto al DNI o pasaporte de una víctima para resolver los procesos de identificación con un vídeo real. Es decir, confiar solamente en una identificación visual se ha convertido en un riesgo.

Por otro lado, las brechas de datos están provocando que el fraude de identidad aumente exponencialmente. Las brechas llevan sucediendo años y suponen la publicación de datos personales identificables que son luego vendidos en el mercado negro. Los defraudadores crean identidades sintéticas para generar fraude con identidades falsificadas utilizando documentos reales. Por eso, una comprobación visual por sí sola, que se basa en la apariencia visual del documento, no es suficiente para detectar estas identidades sofisticadas y combinadas que provienen de datos filtrados.

Otro de los grandes problemas en los procesos de identificación es que, en muchas ocasiones, se realiza como un evento único en el proceso de onboarding, pero el perfil puede cambiar a lo largo del ciclo de vida del cliente. Es decir, se deja la puerta abierta a secuestros de cuentas o a actividades de mulas una vez completada la verificación inicial.

Finalmente, el hecho de trabajar en silos provoca también que exista una importante falta de inteligencia contextual: los procesos de verificación no se conectan con una red más amplia de inteligencia, como patrones de comportamiento, análisis forense del dispositivo o antecedentes de fraude en fuentes de datos dispares.

Cómo resolver los procesos de identificación de forma eficiente

Al final, como vemos, existen muchas opciones para que los defraudadores sean capaces de evadir las verificaciones de identidad más básicas. Y lo más importante es darnos cuenta de que los costes asociados a estas amenazas no detectadas son enormes: pérdidas financieras directas, daño reputacional, aumento en los costes operativos y una erosión de la confianza entre los prescriptores de la empresa. Por eso, es fundamental contar con una estrategia sólida y multinivel de prevención del fraude que vaya más allá de simplemente verificar un documento y un rostro: es necesario comprender el contexto de la identidad, la intención detrás de la solicitud y la red más amplia de actividad que podría indicar la operación de una red de fraude.

Sería necesario, como primer paso, ser capaces de detectar fraudes sofisticados, incluyendo redes de fraude. Para ello, es crítico contar con una plataforma que integre fuentes diversas de datos, más allá de los proveedores tradicionales de identificación de identidades: datos alternativos (uso de redes sociales o de la red móvil del teléfono, por ejemplo), datos de crédito, datos de comportamiento, inteligencia del dispositivo e historial interno del cliente. Esta visión holística proporciona el contexto necesario para detectar anomalías y descubrir actividades fraudulentas interconectadas.

Aprovechando este conjunto de datos enriquecido, los modelos efectivos de Machine Learning aprenden y se adaptan continuamente para identificar patrones sutiles en los datos de aplicaciones, analizar el comportamiento en transacciones y detectar patrones sospechosos en distintos tipos de fraude (fraude de identidad sintética, secuestros de cuentas y esquemas emergentes de fraude en pagos, por ejemplo).

Una vez detectada una anomalía, tomar decisiones en tiempo real es fundamental para evaluar riesgos de forma instantánea, aprobar solicitudes legítimas o marcar aquellas sospechosas para revisión adicional, todo en milisegundos. Esta velocidad es clave para mantener una experiencia fluida para el cliente sin comprometer la seguridad.

Finalmente, como hemos apuntado antes, más allá de la verificación inicial, un enfoque integral ayuda a construir perfiles completos de los clientes, consolidando datos a lo largo del tiempo. Las herramientas analíticas permiten rastrear comportamientos individuales y de red, lo que permite a los equipos de fraude identificar conexiones rápidamente y tomar decisiones fundamentadas.

En definitiva, la verificación digital de identidades mediante captura de documentos y selfies tiene su lugar como primera línea esencial de defensa, y son claras sus ventajas: rapidez y comodidad. Sin embargo, frente a ciberdelincuentes cada vez más profesionales, la proliferación de deepfakes, la amenaza constante de filtraciones de datos y los esfuerzos coordinados de redes de fraude, depender únicamente de estos métodos es como dejar la puerta abierta al robo de información. Por eso, al integrar datos de procedencia diversa, aprovechar el aprendizaje automático avanzado y permitir decisiones informadas en tiempo real, las empresas pueden construir una defensa verdaderamente robusta que descubra rápidamente  a quienes intenten evadir los controles, protegiendo sus activos y fomentando la confianza entre sus clientes legítimos.