- En Latinoamérica y Europa del Este, la gente vende intencionalmente sus documentos de identidad
- Las personas proporcionan voluntariamente fotografías y documentación pagando una tarifa.
- Este giro en los delitos de abuso de identidad hace que la detección estándar de falsificaciones sea redundante
Los investigadores de iProov han descubierto una compleja operación de la web oscura destinada a subvertir los procesos de verificación de Conozca a su cliente (KYC).
A diferencia del robo de identidad convencional, el plan implica que víctimas desprevenidas entreguen voluntariamente sus documentos de identidad e imágenes faciales a cambio de una compensación monetaria.
Este enfoque, conocido como “cultivo de identidades”, permite a los delincuentes explotar credenciales reales para eludir los sistemas de autenticación, lo que dificulta los esfuerzos de detección.
Explotación de credenciales reales
Al acumular credenciales reales, el operador, activo principalmente en la región LATAM (América Latina), puede burlar los métodos tradicionales de verificación de documentos que destacan en la detección de falsificaciones o alteraciones.
Si bien se han observado actividades similares en Europa del Este, no se ha establecido ninguna conexión directa entre los grupos.
En áreas que enfrentan dificultades económicas y un alto desempleo, la gente está dispuesta a comprometer su identidad para obtener ganancias financieras a corto plazo.
Los estafadores explotan a sus víctimas de esta manera, ofreciendo pagos a cambio de documentos de identidad y datos biométricos, a menudo con falsos pretextos. Muchas víctimas perciben esto como una transacción de bajo riesgo.
Cómo funcionan las operaciones de cultivo de identidad
Los atacantes son un grupo de habilidades mixtas. Los de nivel inicial se basan en técnicas sencillas pero efectivas, como mostrar imágenes estáticas o vídeos pregrabados.
Los jugadores más sofisticados utilizan herramientas avanzadas como software de intercambio de caras y manipulación de iluminación, y los atacantes más capaces utilizan modelos de IA personalizados y animaciones 3D diseñadas para imitar el comportamiento humano natural en tiempo real.
Según iProov, se necesita una estrategia de varios niveles a la hora de mantener los sistemas de verificación de identidad.
Esto incluye medidas como verificar que la identidad presentada se alinee con la documentación oficial, utilizar imágenes incrustadas y análisis de metadatos para confirmar la presencia de una persona real e implementar sistemas de desafío-respuesta en tiempo real para detectar comportamientos fraudulentos.
“Lo que es particularmente preocupante acerca de este descubrimiento no es sólo la naturaleza sofisticada de la operación, sino el hecho de que las personas están voluntariamente comprometiendo sus identidades para obtener ganancias financieras a corto plazo”, dijo Andrew Newell, director científico de iProov.
“Cuando las personas venden sus documentos de identidad y datos biométricos, no sólo ponen en riesgo su propia seguridad financiera, sino que también proporcionan a los delincuentes paquetes de identidad completos y reales que pueden ser utilizados para sofisticados fraudes de suplantación de identidad”.
“Estas identidades son particularmente peligrosas porque incluyen tanto documentos reales como datos biométricos coincidentes, lo que las hace extremadamente difíciles de detectar utilizando métodos de autenticación tradicionales”.