El fraude de identidad sintética ya era un problema antes de que la pandemia de COVID-19 cambiara el gasto y el trabajo en línea, pero ahora se está convirtiendo en un problema mayor, ya que los delincuentes se aprovechan de las reglas para obtener créditos menos estrictas y de la gran cantidad de información personal expuesta a través de filtraciones de datos.
La Reserva Federal define el fraude de identidad sintética como un ataque de fraude en el que los ciberdelincuentes combinan información real con información inventada, como direcciones, fechas de nacimiento o nombres para crear una identidad falsa que se puede usar para hacer compras.
El fraude de identidad sintética les costó a los bancos e instituciones financieras de Estados Unidos 20 mil millones de dólares en pérdidas en 2020, en comparación con solo 6 mil millones en 2016, según el reciente Informe de Fraude de Identidad Sintética 2021 de FiVerity.
Antes y durante la pandemia de coronavirus, se ha vuelto más fácil para las personas registrarse para solicitar tarjetas de crédito, beneficios gubernamentales y realizar otros trámites en línea, lo que facilita que los delincuentes en línea creen cuentas sin tener que presentarse en persona, dice Bruno Farinelli, Director de Operaciones y Análisis de ClearSale.
Para los estafadores, los consumidores con un historial crediticio escaso o inexistente, como los niños o las personas mayores, son objetivos ideales para una identidad falsa porque no están abriendo líneas de crédito ni revisando sus informes crediticios con frecuencia o en absoluto, dice David Britton, Vicepresidente de Identificación Global y Fraude en Experian. Estas identidades se pueden usar por períodos de tiempo más largos y son ideales para usar su número de Seguro Social, dice.
Establecer nuevas cuentas de tarjetas de crédito u otras cuentas de pago con minoristas, bancos y otras empresas de servicios financieros utilizando una identidad falsa les permite a los estafadores guardar sus fondos robados, explicó Britton. Sus transacciones no están vinculadas a ninguna víctima, lo que dificulta que las empresas detecten que las cuentas son fraudulentas.
"Básicamente, pueden usarlas y nadie revisa ningún estado de cuenta porque no se trata de una tarjeta de crédito robada", dice Britton. "Entonces, en lugar de robar una tarjeta, están robando los datos y usándolos para crear una tarjeta".
En los últimos años, las principales violaciones de datos de las principales instituciones, incluidos los hackeos del IRS, Equifax y Experian, han dado como resultado que la información del consumidor se derrame en la Dark Web. Los registros de atención médica son particularmente ricos en información que podría usarse para crear identidades sintéticas, incluidas direcciones, información del cónyuge o hijos y otros datos que podrían explotarse.
"Los datos que se están perdiendo de las empresas y esa información de identificación personal, independientemente de la fuente de la que provenga, está en la Dark Web y es muy fácil ir allí si sabes lo que estás haciendo y encontrar un sitio que venda información de identificación personal", dice Matt Bohlmann, Gerente del Programa Nacional de Robo de Identidad de Investigación Criminal del IRS.
La escala del fraude de identidad sintética es difícil de medir, ya que el ataque requiere que estas identidades falsas permanezcan bajo el radar simulando ser personas legítimas con poco crédito. Estas identidades falsas parecen clientes con excelente crédito, con un puntaje FICO de 742, en comparación con el consumidor promedio que tiene un puntaje de 698, según FiVerity. Aun así, hay formas de detectar identidades sintéticas de forma remota.
Las empresas pueden usar software para cotejar la información personal a fin de verificar si una identidad sintética es en realidad falsa, buscando signos reveladores como números de teléfono más nuevos o direcciones de correo electrónico utilizadas para crear una cuenta, dice Farinelli. Las empresas pueden revisar las características alineadas con la identidad sintética, como la ubicación, el idioma, la zona horaria y el dispositivo utilizado, dice Britton.
El dispositivo que se usa también podría proporcionar algunas pistas para ayudar a distinguir a un estafador de una persona real. Por ejemplo, la empresa puede escanear el dispositivo que se usa en la transacción y detectar malware, o encontrar firmas digitales o líneas de código asociadas con actividades maliciosas. Otro indicador es si el usuario tarda demasiado en ingresar un número de Seguro Social presumiblemente memorizado, dice Britton. Otros autenticadores biométricos de comportamiento más difíciles de suplantar incluyen cómo un consumidor mueve el cursor por la pantalla o sostiene el dispositivo móvil.
Una variedad de industrias, incluidos hospitales, casas de apuestas deportivas, empresas de servicios financieros y agencias gubernamentales, son objetivos comunes para cometer el fraude de identidad sintética, dice Eric Leiserson, Vicepresidente de Marketing de IDology. Casi una cuarta parte de los encuestados (23%) dice que notó que se abrió una cuenta en los últimos 12 a 18 meses sin su consentimiento, frente al 19% en 2020. De aquellos que vieron una cuenta no autorizada creada o utilizada que contenía su información personal, para más de un tercio (37%) de los encuestados se trataba de cuentas de tarjetas de crédito fraudulentas abiertas, seguidas de cuentas corrientes (19%), cuentas de compras en línea (15%) y cuentas de ahorro (12%). El porcentaje de encuestados que vieron préstamos no autorizados, beneficios gubernamentales, cuentas médicas y de apuestas deportivas abiertas a su nombre fue inferior al 5% cada uno, según la encuesta de IDology.
Si bien las identidades sintéticas representan un número relativamente pequeño de cuentas de consumidores, aún pueden causar daños financieros. El perfil de identidad sintética promedio roba con éxito entre 81,000 y 97,000 dólares, según FiVerity.
Las identidades sintéticas son fáciles de crear porque la información se encuentra fácilmente disponibles. Los datos de los consumidores deben protegerse para que no se puedan usar de esta manera. Muchas empresas no implementan ni siquiera las medidas de seguridad más básicas, como no restablecer las contraseñas de la configuración de fábrica, no invertir en software antivirus, no hacer copias de seguridad de los datos y no cifrar los sistemas de correo electrónico, dice Bohlmann. Al igual que las personas implementan protocolos de seguridad para sus hogares, como instalar cámaras y detectores de humo, las empresas deben invertir en protocolos de seguridad y planes de ciberseguridad en caso de emergencia, dice.
"Estamos tratando de hacer que las empresas sean realmente conscientes de establecer sus planes de seguridad cibernética y revisarlos, asegurándonos de que sus empleados sepan e identifiquen todas sus debilidades y dónde se puede acceder a ellas", dice Bohlmann. "Las empresas que tienen todos estos datos deben ser realmente más atentas de lo que serían con su casa, porque cuentan con mucha información que podría afectar a las personas".