Fraude en cuentas nuevas: cómo la IA está transformando esta amenaza y cómo detenerla

Imagina que un día recibes un extracto en el que figura que debes varios miles de dólares en una tarjeta de crédito. La carta va dirigida a ti, pero es la primera vez que oyes hablar de ello: ni siquiera has tenido nunca una tarjeta de crédito con esa empresa. Alguien haciéndose pasar por usted ha solicitado una nueva tarjeta de crédito y ha acumulado cargos fraudulentos a su nombre. Ahora tiene que lidiar con el estrés, la posible pérdida económica y una puntuación crediticia arruinada que le dificulta obtener los préstamos, las tarjetas de crédito o la hipoteca que realmente necesita.

Esto siempre ha sido un problema. Pero en 2024, las pérdidas declaradas por fraudes en cuentas nuevas alcanzaron los 6.200 millones de dólares, lo que supone más del doble que en la última década. Los métodos también han cambiado: mientras que antes los estafadores recurrían al correo robado y a documentos falsificados, ahora utilizan identidades sintéticas creadas con IA generativa, imágenes deepfake que superan los controles de verificación básicos y ataques de inyección que eluden por completo las cámaras de los dispositivos.

¿Qué es el fraude en cuentas nuevas?

El fraude en la apertura de cuentas —también conocido como fraude en la apertura de cuentas o fraude en la creación de cuentas— se produce cuando un estafador abre una cuenta utilizando datos de identidad falsos o manipulados con el fin de cometer un delito, robar dinero, blanquear fondos o acceder a servicios a los que no tendría derecho con su propia identidad.

Funciona así: un delincuente obtiene o falsifica datos de identidad, los utiliza para superar los controles de alta y, a continuación, se aprovecha de la cuenta antes de que nadie se dé cuenta de que algo va mal. Se tarda una media de 151 días en detectar el fraude en cuentas nuevas una vez que se ha producido, tiempo durante el cual los daños se agravan.

Las organizaciones que no verifican la presencia real de cada nuevo solicitante están, sin saberlo, abriendo la puerta a los estafadores. Si el proceso de incorporación se puede completar solo con datos, un estafador que cuente con las herramientas adecuadas podrá acceder a ellos.

Hay dos métodos principales:

Fraude por suplantación de identidad

Utilizar los datos de una persona real —que suelen proceder de filtraciones de datos o adquirirse en la dark web— para abrir cuentas a su nombre. En el caso de muchos de nosotros, ya se puede encontrar en Internet gran parte de nuestra información personal: fecha de nacimiento, dirección, número de teléfono y otros datos que pueden combinarse para suplantar nuestra identidad.

Fraude de identidad sintética

Combinar datos reales (como un número de la Seguridad Social válido) con información inventada para crear una persona totalmente ficticia. Se trata de una de las formas más sofisticadas de fraude, y una de las que más rápido está creciendo. El fraude de identidad sintética representa actualmente alrededor del 30 % de todos los casos de fraude de identidad, con un aumento del 311 % en el fraude con documentos de identidad sintéticos entre el primer trimestre de 2024 y el primer trimestre de 2025.

Por qué está aumentando el fraude en las cuentas nuevas

Hay tres factores que se combinan para agravar este problema:

La IA generativa ha industrializado el fraude de identidad

Los deepfakes y los documentos generados por IA han transformado lo que antes era un delito manual y de bajo volumen en una operación a gran escala. El Informe de Inteligencia sobre Amenazas de iProov de 2025 reveló que los ataques mediante intercambio de rostros se dispararon un 300 % con respecto al año anterior, y que los ataques mediante cámaras virtuales nativas —en los que los estafadores introducen imágenes sintéticas directamente en el proceso de verificación— aumentaron un 2665 %.

No se trata de riesgos teóricos. Una sola videollamada con deepfake le costó a Arup 25 millones de dólares. Agentes de países sancionados por la OFAC se han infiltrado en más de 300 empresas utilizando filtros de deepfake para superar entrevistas por videoconferencia.

El «crimen como servicio» ha puesto el fraude al alcance de cualquiera

Las sofisticadas herramientas de ataque ya no son exclusivas de los hackers expertos. Las redes de «crimen como servicio» venden kits de herramientas de fraude ya preparados a operadores con pocos conocimientos técnicos. El Informe de Inteligencia sobre Amenazas de iProov identificó más de 115 000 combinaciones de ataque potenciales a partir de tan solo tres herramientas comunes.

Los controles tradicionales de incorporación no pueden detectar los ataques modernos

Muchas organizaciones han intentado combatir el fraude simplemente solicitando más información durante el proceso de incorporación: más preguntas, más documentos y más verificaciones basadas en conocimientos. Sin embargo, cualquier información que se pueda escribir se puede robar. La autenticación basada en conocimientos es fundamentalmente vulnerable, ya que los datos en los que se basa ya se han visto comprometidos a gran escala.

Solo la verificación biométrica —que confirma la presencia real de la persona que se encuentra detrás de la pantalla— puede subsanar la laguna que dejan las comprobaciones basadas en datos.

El coste para las organizaciones y los consumidores

Para los consumidores: más allá de las pérdidas económicas, las víctimas se enfrentan a un deterioro de su historial crediticio y a una media de 10 horas dedicadas a resolver cada caso de fraude. Un historial crediticio negativo debido a préstamos contraídos a tu nombre y no pagados puede impedirte acceder a los servicios que realmente necesitas.

Para las organizaciones: las pérdidas van mucho más allá de la cuenta agotada que una persona falsa simplemente abandona. Cada cliente fraudulento que se incorpora consume recursos de procesamiento de KYC, atención al cliente y supervisión del cumplimiento normativo que deberían estar destinados a los clientes auténticos. En los sectores regulados, una verificación inadecuada durante la incorporación puede provocar incumplimientos de las normas de KYC, multas y daños a la reputación. Y una cuenta fraudulenta abierta con éxito se convierte en una plataforma de lanzamiento para otros delitos posteriores: blanqueo de capitales, fraude en pagos push autorizados o la preparación de cadenas de fraude más complejas.

Es revelador que, en la actualidad, solo un tercio de las entidades financieras detecte la mayor parte de los fraudes durante el proceso de alta. La mayoría los identifica más adelante en el flujo de la transacción, momento en el que el daño ya está hecho.

 

Cómo la verificación biométrica previene el fraude en la apertura de nuevas cuentas

La verificación biométrica facial subsana la deficiencia fundamental del proceso de registro tradicional: confirma que la persona que presenta la solicitud es quien dice ser, que se trata de un ser humano real y que está realmente presente en el momento de la verificación.

El usuario escanea un documento de identidad válido (pasaporte o permiso de conducir) y, a continuación, se somete a un breve escaneo facial. El sistema compara el rostro en directo con la fotografía del documento y verifica la presencia física del usuario, todo ello en cuestión de segundos.

Esto detiene el fraude de cuentas nuevas de raíz. Si un delincuente tiene tu documento de identidad, la foto no coincidirá con su rostro físico: solo tú puedes proporcionar la coincidencia biométrica. Una identidad sintética no tiene a ninguna persona real detrás. Además, la detección avanzada de vida identifica y bloquea los deepfakes, los intercambios de rostros y los contenidos multimedia insertados digitalmente.

Pero no todos los métodos de verificación biométrica son iguales. Dada la sofisticación de los ataques actuales, la verificación básica de la vitalidad —es decir, limitarse a comprobar que un rostro es «real» y no una fotografía— ya no basta por sí sola.

Por qué el enfoque de iProov detecta lo que otros pasan por alto

La tecnología Dynamic Liveness de iProov está diseñada específicamente para hacer frente a las amenazas que caracterizan el fraude en la apertura de nuevas cuentas en la actualidad. Combina cuatro funciones que, en conjunto, crean una defensa que ninguna característica por sí sola puede igualar:

Detección certificada de vida y de ataques de inyección

La tecnología Flashmark patentada por iProov ilumina el rostro del usuario con una secuencia única e impredecible de colores durante cada sesión. El reflejo de esta luz en el rostro del usuario se analiza para confirmar su presencia real en tiempo real. Cada sesión genera datos biométricos únicos que no pueden reproducirse, interceptarse ni pregrabarse. iProov es el primer y único proveedor certificado de forma independiente según la norma NIST SP 800-63-4, y el primero en alcanzar el nivel alto de la norma CEN/TS 18099 para la detección de ataques de inyección: durante más de 40 días de pruebas acreditadas, no se estableció ningún método de ataque que tuviera éxito.

Gestión activa de amenazas a través de iSOC

El Centro de Operaciones de Seguridad de iProov (iSOC) supervisa los patrones de ataque en tiempo real en todos los clientes, zonas geográficas y plataformas. Cuando surgen nuevos métodos de ataque, las actualizaciones defensivas se implementan a nivel mundial sin interrupciones. Las defensas de iProov evolucionan continuamente, lo cual es fundamental cuando las técnicas de fraude cambian más rápido de lo que pueden abordar las actualizaciones anuales de software.

Verificación basada en la nube

Toda la verificación se lleva a cabo en la nube, no en el dispositivo. Esto aísla el proceso de verificación de las vulnerabilidades a nivel del dispositivo y permite la supervisión en tiempo real que hace posible el funcionamiento de iSOC.

Una experiencia de usuario sencilla y accesible

Todo el proceso es pasivo: no hay que girar la cabeza, asentir, parpadear ni seguir instrucciones verbales. iProov cumple con las normas WCAG 2.2 AA y la Sección 508, y cuenta con algoritmos cuyo rendimiento ha sido probado en personas de diferentes edades, géneros y tonos de piel. Las organizaciones pueden aplicar medidas rigurosas de prevención del fraude durante el proceso de registro sin que los clientes legítimos se vean disuadidos por las dificultades. Las tasas de éxito de iProov suelen superar el 98 %.

Más allá de la incorporación de clientes: la identidad de los empleados

El fraude en la creación de nuevas cuentas no se limita a los servicios dirigidos al consumidor. Las mismas técnicas —deepfakes, identidades sintéticas, credenciales robadas— se están utilizando ahora para infiltrarse en las organizaciones a través del propio proceso de contratación.

La suite de soluciones iProov Workforce Solution amplía la verificación de la presencia humana real a todo el ciclo de vida de la identidad de los empleados: contratación y incorporación a distancia, acceso a dispositivos compartidos, autenticación reforzada para acciones con privilegios y recuperación de cuentas. Esta solución subsana la deficiencia estructural de los sistemas de identidad corporativos, que se diseñaron para verificar credenciales y dispositivos, pero no a las personas que los utilizan.

El Informe de inteligencia sobre amenazas de iProov de 2025 recoge los métodos de ataque que están impulsando actualmente el fraude en la creación de cuentas nuevas. Descarga aquí el informe completo.

Para descubrir cómo iProov puede proteger su proceso de alta de nuevos clientes contra el fraude, solicite una demostración.

---

Preguntas frecuentes sobre el fraude en cuentas nuevas

¿Cómo contribuye la IA a agravar el fraude en la apertura de nuevas cuentas?

La IA generativa permite a los estafadores crear deepfakes convincentes, documentos de identidad sintéticos e intercambios de rostros a escala industrial. Estas herramientas pueden eludir los controles de identidad básicos que se basan en fotografías de documentos o en simples sistemas de detección de vida. Las redes de «crimen como servicio» ponen estas herramientas basadas en IA al alcance de operadores con poca experiencia, lo que aumenta drásticamente el volumen y la sofisticación de los ataques.

¿Cómo pueden las organizaciones prevenir el fraude en la apertura de nuevas cuentas?

La defensa más eficaz es la verificación biométrica facial con detección de presencia real en el momento del registro. Esto confirma que hay una persona real presente, compara su rostro con el de un documento de identidad fiable y frustra los ataques de deepfakes y de inyección. Las organizaciones deben buscar soluciones certificadas de forma independiente según normas como NIST SP 800-63-4 y CEN/TS 18099, con una gestión activa de amenazas que evolucione a medida que cambian los métodos de ataque.

¿Cuál es la diferencia entre el fraude en cuentas nuevas y la apropiación de cuentas?

El fraude de cuentas nuevas consiste en crear una cuenta nueva utilizando datos de identidad robados o falsos. El fraude por apropiación de cuentas consiste en obtener acceso no autorizado a una cuenta legítima ya existente. Ambas son amenazas cada vez más frecuentes, pero requieren estrategias de defensa diferentes: el fraude de cuentas nuevas se combate mejor durante el proceso de registro mediante la verificación de la identidad, mientras que la apropiación de cuentas se combate mediante la autenticación continua.