Por Leonardo González, Director Regional para América Latina de Ivanti.
La detección de identidades sintéticas se ha convertido en uno de los mayores desafíos de la ciberseguridad moderna porque los sistemas de detección de fraudes no fueron diseñados para esto. Es una amenaza más sutil, enormemente insidiosa en donde los actores maliciosos ya usan la IA para ensamblar datos públicos y personales filtrados, y construir con ellos identidades sintéticas: personas que se ven y actúan como personas reales porque están construidas a partir de datos reales, solo que rearmadas en alguien que no existe.
Necesitamos modelos de IA entrenados para reconocer comportamiento humano anómalo e intención maliciosa. La urgencia es real en todas partes, especialmente en América Latina. Según LexisNexis Risk Solutions, el fraude de identidades sintéticas representa cerca del 48% de los incidentes en la región, cifra que refleja tanto la sofisticación de los ataques como la brecha en las defensas actuales.
Cómo funcionan y por qué evaden la detección tradicional
Las identidades sintéticas se construyen a partir de datos legítimos, direcciones reales, historiales laborales reales, conexiones sociales reales, que se mezclan y combinan para crear una personalidad convincente. Cada dato es válido. La combinación es inventada.
Los sistemas de detección de fraudes buscan patrones “malos” conocidos: información prohibida, credenciales previamente marcadas, verificaciones de velocidad. Eso funciona cuando los atacantes reutilizan la misma información fraudulenta. Pero las identidades sintéticas generalmente no se reutilizan. Cada una se construye desde cero a partir del enorme volumen de datos personales que circulan en internet y en las bases de datos de brechas de seguridad. Para cuando hayas marcado una, el atacante ya estará construyendo la siguiente.
Sin embargo, las identidades sintéticas, incluso las bien construidas, tienen fisuras. El comportamiento se siente extraño. Los patrones de acceso no cuadran con el rol. La actividad aparece a horas inusuales. Cuando se les somete a una verificación de rutina, la respuesta parece ensayada. Aquí, los modelos de IA entrenados en comportamiento humano pueden detectar esas fisuras. No comparando contra una lista de firmas maliciosas conocidas, sino notando cuando algo simplemente no cuadra con cómo actúa una persona real. Debemos preguntarnos si se comporta como la persona que dice ser.
Las organizaciones no están preparadas
La mayoría sigue confiando en la autenticación por credenciales y la detección de fraudes basada en reglas. Verifican usuario y contraseña. Comprueban que el documento de identidad no esté en una lista negra. Dan por bueno el resultado y siguen adelante. Eso no resiste frente a identidades sintéticas diseñadas precisamente para pasar esos controles.
Migrar hacia la detección basada en comportamiento requiere inversión. Significa replantearse por completo cómo funciona la verificación de identidad y aceptar que las credenciales solas no prueban que alguien sea quien dice ser. Hay que observar cómo se comportan con el tiempo. Eso implica más trabajo al principio, pero es una de esas situaciones en las que un gramo de prevención vale, a la larga, muchos kilos de cura.
