Las amenazas a la identidad digital no dejan de crecer. Los deepfakes monopolizan la cobertura mediática, los ataques de phishing se han vuelto rutina. Pero hoy, la detección de identidades sintéticas se ha convertido en uno de los mayores desafíos de la ciberseguridad moderna.
De acuerdo con Leonardo González, Director Regional para América Latina de Ivanti, esta amenaza es más sutil, enormemente insidiosa, porque los actores maliciosos ya usan la IA para ensamblar datos públicos y personales filtrados, y construir con ellos identidades sintéticas. Son personas que se ven y actúan como personas reales porque están construidas a partir de datos reales, solo que rearmadas en alguien que no existe.
La urgencia es real en todas partes, especialmente en América Latina. Según LexisNexis Risk Solutions, el fraude de identidades sintéticas representa cerca del 48% de los incidentes en la región, cifra que refleja tanto la sofisticación de los ataques como la brecha en las defensas actuales.
“Las identidades sintéticas se construyen a partir de datos legítimos, direcciones reales, historiales laborales reales, conexiones sociales reales, que se mezclan y combinan para crear una personalidad convincente, pero inventada. Esto es un problema serio porque los sistemas de detección de fraudes no fueron diseñados para esto. Necesitamos modelos de IA entrenados para reconocer comportamiento humano anómalo e intención maliciosa”, destaca González.
Verificación de identidad basada en comportamiento: el enfoque que sí funciona
Los seres humanos reales tienen patrones: cómo escriben, cuándo están activos, a qué sistemas acceden y en qué orden, cómo reaccionan cuando algo inesperado ocurre. Hay un ritmo en la forma en que las personas trabajan. En cambio, las identidades sintéticas, incluso las bien construidas, tienen fisuras. Su comportamiento se siente extraño. Los patrones de acceso no cuadran con el rol. La actividad aparece a horas inusuales. Cuando se les somete a una verificación de rutina, la respuesta parece ensayada.
Aquí es donde los modelos de IA entrenados en comportamiento humano pueden detectar esas fisuras. No comparando contra una lista de firmas maliciosas conocidas, sino notando cuando algo simplemente no cuadra con cómo actúa una persona real.
Las empresas deben estar preparadas
La mayoría sigue confiando en la autenticación por credenciales y la detección de fraudes basada en reglas. Verifican usuario y contraseña. Comprueban que el documento de identidad no esté en una lista negra. Dan por bueno el resultado y siguen adelante. Eso no resiste frente a identidades sintéticas diseñadas precisamente para pasar esos controles.
“Deben migrar hacia la detección basada en comportamiento. Significa replantearse por completo cómo funciona la verificación de identidad y aceptar que las credenciales solas no prueban que alguien sea quien dice ser. Hay que observar cómo se comportan con el tiempo. Eso implica más trabajo al principio, pero es una de esas situaciones en las que un gramo de prevención vale, a la larga, muchos kilos de cura”, concluye el Director Regional para América Latina de Ivanti.