Identidad digital redefine la verificación (y el fraude) con IA

La identidad como nuevo vector central de ataque

La adopción masiva de IA ha hecho que técnicas de fraude y suplantación que antes estaban reservadas a actores altamente sofisticados, hoy sean de uso masivo. La creación de identidades falsas con fotografías sintéticas, la clonación de voz y los videos falsificados son ahora comunes incluso en intentos de fraude a pequeña escala.

Según Pereira, el fraude de identidad ya no se limita a documentos falsificados. Hoy incluye identidades sintéticas generadas con IA, deepfakes en vivo para burlar pruebas de vida, ataques de inyección de video –cuyos intentos de ataque crecieron 88 % en México en el último año, según datos de Jumio– y manipulación biométrica sofisticada, entre otros tipos de ataques.

Por eso, explica Pereira, la compañía ha evolucionado de la “verificación de identidad” a lo que llaman inteligencia de identidad, que incorpora señales adicionales del usuario: “Hoy en día hablamos de inteligencia de identidad, que es verificar a la persona conociendo otras señales de riesgo asociadas a su identidad: su dispositivo, su correo, su dirección, su comportamiento. Eso también es parte de tu identidad”.

Además, el fraude ya no depende únicamente de contar con un documento falso. En muchos casos, los criminales usan documentos auténticos, pero manipulan la biometría mediante IA. “Muchas veces los datos coinciden con la persona real, pero la biometría es diferente a la que nosotros ya tenemos registrada”, afirma Pereira. En estos escenarios, la interconexión de datos es clave para detectar inconsistencias históricas, un reto que solo es posible resolver con IA y modelos avanzados de análisis.

Los servicios de Jumio, cuya sede queda en California (Estados Unidos), aplican a “cualquier organización que tenga u ofrezca servicios digitales”, detalla la ejecutiva. Gracias a su cobertura global, la plataforma puede verificar documentos de más de 200 países, en 5.000 formatos distintos, y se integra fácilmente en sistemas y aplicaciones. Sus principales clientes actuales están en industrias que son muy sensibles al fraude como la financiera, los juegos y apuestas en línea (donde verifican identidad y edad de los usuarios), las aerolíneas y los programas de lealtad, entre otras. La plataforma opera bajo un modelo SaaS, desde la nube de AWS, y cuenta con certificaciones como ISO 27001, NIST e iBeta.

Cross Transaction Risk o cómo evitar que un defraudador repita sus ataques

Una tendencia que se repite entre los defraudadores es que si tienen éxito en una plataforma, inmediatamente intentarán replicar el fraude en otras. Por eso, Jumio desarrolló un sistema de alerta temprana para anticiparse a ese patrón compartido, que representa una capa esencial de defensa.

“Si un defraudador ya pasó por nuestra plataforma, podemos avisar sin dar datos específicos. A esto le llamamos Cross Transaction Risk, y es oro en polvo para las organizaciones”, detalla Pilar Pereira.

Este mecanismo permite reconocer ataques repetitivos entre plataformas, anticipar fraudes antes de que afecten varias instituciones y compartir señales de este tipo de actividad delictiva sin comprometer información personal.

Gobiernos y empresas no avanzan al mismo ritmo

Aunque el sector privado ha avanzado rápidamente en la adopción de tecnología para verificar la identidad de las personas –especialmente los que manejan información sensible, como banca y fintech–, el sector público aún muestra heterogeneidad.

“Hay un gap importante”, asegura Pereira. “No es como que entras a una entidad del gobierno y sabes que te van a verificar y te quedas tranquilo”, comenta. Aun así, la ejecutiva reconoce que existe progreso: “Todos los gobiernos en Latinoamérica están haciendo un esfuerzo importante por incorporar tecnología. [Solo que] unos más avanzados que otros”.

La directora de Alianzas Estratégicas para Jumio en América Latina destaca que, en México, la industria de banca y finanzas tiene controles muy estrictos, gracias a la intervención de la Comisión Nacional Bancaria y de Valores, organismo “que hace que las empresas certifiquen incluso la herramienta de verificación”.

La recomendación de la ejecutiva es orientarse hacia la unificación de políticas y tecnologías para evitar sistemas fragmentados con niveles de seguridad desiguales. “Hay entidades que están muy protegidas y otras que no. Ahí es donde está la responsabilidad de incorporar tecnología que realmente les ayude a mitigar este tipo de fraude”, aconseja.

De acuerdo con Pilar Pereira, la falta de adopción de sistemas de verificación avanzada se debe a dos barreras principales: el desconocimiento de la tecnología, y la percepción de costo. “Creen que esto es muy costoso… Hasta que no pasa el fraude, la gente no tiene conciencia”, señala. Pero el costo del fraude es aún mayor: multas, pérdida de clientes y daño reputacional que supera con creces invertir en mecanismos de prevención.

La identidad como nueva frontera de la ciberseguridad

La creciente sofisticación del fraude basado en IA obliga a los líderes tecnológicos a replantear estrategias de identidad digital, incluyendo:

• Modelos basados en IA para verificación.
• Análisis de señales multidimensionales.
• Colaboración entre empresas para alertas compartidas.
• Integración con datos gubernamentales cuando la regulación lo permite.
• Eliminación de procesos manuales que no escalan ante deepfakes avanzados.

Salir avante ante esta situación compleja es una responsabilidad que recae en las propias organizaciones, subraya Pereira, y estas deben poner la inteligencia de identidad en el centro de la ciberseguridad, y así aprovechar la IA para estar un paso delante de los fraudes avanzados.