Las filtraciones de datos impulsan el crecimiento del fraude de “identidad sintética”

[private]Por Daniela Guzman

2 de Junio de 2014

En 1938, a un fabricante de ropa de EEUU se le ocurrió una brillante idea para comercializar su producto más reciente. Para demostrar cómo las tarjetas de Seguro Social podrían encajar en su nueva línea de billeteras, la empresa introdujo una tarjeta de muestra en cada una de ellas. El truco, una idea novedosa para su tiempo, ayudó a la compañía a vender miles de billeteras.

La compañía, sin embargo, había utilizado un número real de Seguridad Social que pertenecía a uno de sus empleados para las tarjetas de muestra. Pocos meses después de la presentación de la billetera, otras personas empezaron a utilizar ese número de Seguro Social. Se convertiría en el número más abusado de todos los tiempos, utilizado en forma indebida por más de 40.000 personas.

Ese extraño caso fue un ejemplo temprano y relativamente poco sofisticado de lo que ahora se ha convertido en una forma generalizada de “fraude de identidad sintética”, la creación de una identidad falsa a partir de partes de la información sobre la identidad de múltiples personas reales, o una mezcla de información real y ficticia.

La técnica más común del robo de identidad sintética consiste en la combinación de un número de seguro social real con un nombre y una fecha de nacimiento distinta de los asociados con el número. El fraude de identidad sintética es más difícil de rastrear, ya que no aparece en el informe de crédito de cualquiera de las personas directamente, sino que puede aparecer como un archivo totalmente nuevo en la oficina de crédito o como un artículo anexado en uno de los informes de crédito de la víctima. El robo de identidad sintética perjudica principalmente a los acreedores que, sin saberlo, otorgan el crédito estafadores. Las víctimas individuales pueden verse afectados si sus nombres se confunden con las identidades sintéticas, o si la información negativa en sus subarchivos afectan sus calificaciones crediticias.

El fraude de identidad sintética es un fraude complejo que es más difícil de cometer, pero también más difícil de detectar que el tradicional robo de identidad. Debido a que por lo general no hay una víctima obvia o fácil de identificar en muchos de los ardides de robos sintéticos de identidad, los casos no se reportan o no se detectan.

Si bien el fraude sintético de identidad no es nuevo, recientes estudios y casos sugieren que el fraude sintético está en crecimiento, impulsado en parte por una ola de enormes filtraciones o violaciones de datos en las corporaciones de EEUU en los últimos dos años.

A principios de este año, la gigante compañía minorista de Estados Unidos Target sufrió la más grande violación de datos conocida hasta el momento. Si bien la pérdida de 40 millones de números de tarjetas de crédito y débito afectó a los clientes en forma más directa, la filtración también expuso información de identificación personal de 110 millones de clientes. En muchos casos, esa información terminó en bazares en línea donde los datos personales y números de identificación fiscal se vendieron a delincuentes cibernéticos en busca de construir identidades sintéticas. Según un Informe de Fraude de Identidad de 2014 por la consultora Javelin Strategy & Research, 1 de cada 3 personas que recibe notificación de una violación de los datos con el tiempo se convierte en víctimas de fraude de identidad.

«Se puede conjeturar que la creciente facilidad para… obtener identidades y elementos de identidad válidos puede contribuir a un camino más fácil para cometer fraude de identidad sintética», dice Keir Breitenfeld, Vicepresidente de Experian Decision Analytics.

Los analistas estiman que el fraude sintético de identidad representa hasta un 88% del robo de identidad total y el 74% de las pérdidas de las empresas estadounidenses relacionadas con el fraude de identidad. Sin embargo, a pesar de su prevalencia, muchas instituciones financieras y organismos gubernamentales han tenido dificultades para atacar los esquemas de fraude sintético, en parte debido a su naturaleza y carácter esquivo, y en parte debido a la clasificación errónea como pérdidas de crédito en lugar de fraude real.

Identidad sintética por lo general sigue una receta similar

El proceso para construir una identidad sintética por lo general sigue un proceso predecible. Según Breitenfeld, una identidad sintética por lo general se crea ensamblando:

Un nombre creado o un nombre real sutilmente alterado

Una dirección que pueda ser vigilad por el delincuente, pero que no esté vinculada con éste (por ejemplo, una dirección comercial, un dirección de correo postal)

Un número de seguro social legítimo, pero que pertenezca a otra persona

A partir de ahí, los ID sintéticos pueden participar en una amplia gama de esquemas de fraude, desde solicitar beneficios gubernamentales a solicitar tarjetas de crédito. Un esquema conocido está relacionado con la construcción de un excelente historial de crédito durante un período prolongado con una identificación sintética, y luego utilizar este impecable historial para solicitar créditos hasta los límites o sacar grandes adelantos en efectivo. Un estafador puede controlar docenas de identidades sintéticas al mismo tiempo, y tales esquemas pueden crecer gradualmente con el tiempo, dificultando su detección, según el CEO de IdentityTheft.com Robert Siciliano.

“Ellos establecerán identidades sintéticas completas y funcionarán durante años así, y luego básicamente desparecerán”, señala Siciliano.

Las agencias gubernamentales tienen al fraude de identidades sintéticas bajo la lupa

El carácter generalizado y lucrativo de fraude de identidad sintética ha llevado a que las agencias de aplicación de la ley tomen nota. En Canadá, un informe reciente estima que las licencias de conducir obtenidas con identificación sintética cuestan al gobierno del canadiense 1.000 mil millones al año.

Este mismo mes, uno de los acusados en uno de los mayores casos de fraude de identidad en EEUU se declaró culpable por su participación en una operación internacional para producir más de 7.000 identidades y posteriormente obtener miles de tarjetas de crédito. Al consolidar las historias de crédito de sus identificaciones sintéticas, los defraudadores fueron capaces de obtener grandes préstamos y tarjetas de crédito.

Khawaja Ikram, de Nueva York, fue uno de los 18 acusados en febrero de 2013 en el fraude que significó más de US$200 millones en pérdidas para las instituciones financieras y empresas. Hasta el momento, otras ocho personas se han declarado culpables. Ikram se enfrenta a una pena de prisión de 30 años y una multa equivalente al doble del importe de los daños ocasionados.

En EEUU, los grupos de trabajo de múltiples agencias son cada vez más utilizados para combatir el fraude de identidad a gran escala. Ikram y los otros acusados fueron atrapados gracias a la colaboración de la División Cibernética del FBI, el Servicio de Inspección Postal de EEUU, el Servicio Secreto y la Administración del Seguro Social. La Unidad de Confiscación de Activos, Lavado de Dinero y Delitos Económicos de la Oficina del Fiscal de EEUU está ayudando con el caso.

Las instituciones financieras se asocian con empresas especializadas para combatir el fraude de identidad falsa

Si bien las identidades sintéticas pueden pasar desapercibidas durante procesos estándares de debida diligencia y de aceptación del cliente, el crecimiento de las herramientas de análisis de datos en los últimos años ha dado a las instituciones financieras mejores opciones de detección.

«El fraude en primera instancia (first party fraud), ya sean delincuentes individuales, o grupos criminales más organizados, son muy difíciles de detectar mediante los tradicionales procesos de administración de cuenta y de monitoreo, dado que las identidades… parecen legítimas con la creación de identidades sintéticas», dice Breitenfeld.

«Por tanto, es importante que las normas binarias y elementos básico de verificación de la identidad sean reforzados con tecnologías de análisis predictivo y específicas, y se realice una evaluación del riesgo a partir de un punto de vista más global, de manera óptima a través de múltiples cuentas dentro de una institución, y en última instancia a través de múltiples instituciones», continúa.

En ese proceso de detección de anomalías, las instituciones financieras podrían atrapar al criminal antes de que haga daño.

«El sistema es un poco tonto», dice Siciliano. «Fue recién en la última década que se volvió más avispado, y fue porque empresarios de la información y la tecnología unieron estos datos para ver lo que es real y lo que no y lo están filtrando constantemente a través de esa información».

El robo de identidad va más allá del fraude con tarjetas

A pesar de que las instituciones desarrollan nuevos métodos de detección de fraudes, el panorama para el fraude con robo de identidad está cambiando y diversificando. Hasta hace poco los esquemas de robo de identidad se centraban principalmente en tarjetas de crédito y débito, el fraude de identidad que no está relacionado con tarjetas de crédito ha aumentado de forma espectacular, según el informe de Javelin.

El año pasado, el número de personas que cayeron víctimas de ardides de fraude no relacionados con tarjetas se multiplicó por tres (incluye robo de líneas de crédito, robo de cuentas o de sistemas de pago por Internet como PayPal). El año pasado, las pérdidas por fraude de identidad no relacionado con tarjetas se estimaron en US$5.000 millones, o un tercio del total de las pérdidas por robo de identidad.[/private]