El fraude de identidad sintética: el problema de las víctimas invisibles y cómo resolverlo

Piensa en los miles de millones de usuarios que se registran cada día en Internet para acceder a nuevos servicios digitales: suscribirse a una plataforma de streaming, contratar un seguro, consultar historiales médicos o abrir una cuenta bancaria. Las organizaciones conceden una enorme importancia a captar el mayor número posible de clientes lo antes posible. Más clientes, más ingresos. En el sector público, la adopción masiva de los servicios digitales es fundamental para la eficiencia en los costes.

Pero, ¿qué pasa si registras a un usuario que no es una persona real?

No se trata de alguien que se hace pasar por ti: eso es el robo de identidad tradicional. Esto es diferente. Se trata de alguien que no existe en absoluto. Una persona inventada, creada a partir de fragmentos de datos robados, diseñada para parecer lo suficientemente real como para superar tus comprobaciones, crear un historial crediticio y luego desaparecer con tu dinero.

Se trata del fraude de identidad sintética.Se calcula que este tipo de fraude supone un costeanual para las empresasde entre 20 000 y 40 000 millones de dólares a nivel mundial. Las entidades crediticias estadounidenses se enfrentan a un riesgo de 3300 millones de dólares derivado de identidades sintéticas vinculadas a nuevas cuentas hasta 2024. Además, el 44 % de las organizaciones lo consideran actualmente el tipo de fraude que más les preocupa.

Lo que lo hace especialmente peligroso no es solo su magnitud. Es que no hay ninguna víctima que lo denuncie.

¿Qué es el fraude de identidad sintético?

El fraude de identidad sintética consiste en crear una identidad nueva y ficticia utilizando una combinación de datos reales, robados e inventados, para luego utilizar esa identidad con el fin de abrir cuentas, acceder a servicios o cometer delitos financieros.

A diferencia del robo de identidad tradicional, en el que un delincuente roba la identidad de una persona real y se hace pasar por ella, el fraude sintético crea una «persona» que nunca ha existido. Esa distinción es de vital importancia para la detección, como explicaremos a continuación.

Por lo general, adopta una de estas tres formas:

Identidad ficticia: creada íntegramente a partir de datos ficticios. No se utiliza ninguna información personal real.

Manipulación de la identidad: datos de identidad reales ligeramente alterados —un dígito cambiado en un número de la Seguridad Social, una fecha de nacimiento modificada— para crear una nueva identidad que supere la validación.

Creación de identidades (fraude «Frankenstein»): elementos de datos reales procedentes de múltiples fuentes combinados para crear una nueva identidad. Un número de la Seguridad Social legítimo asociado a un nombre falso y una dirección robada. Se trata de la forma más común y peligrosa, ya que cada dato, por sí solo, parece legítimo.

El problema de la víctima invisible: por qué el fraude sintético burla los métodos de detección tradicionales

Este es el aspecto fundamental que distingue el fraude de identidad sintética de cualquier otro tipo de fraude: no hay ninguna persona real que supervise la actividad fraudulenta.

En los casos tradicionales de robo de identidad o apropiación de cuentas, hay una víctima real. Esta persona detecta transacciones desconocidas, llama a su banco, presenta una denuncia y el fraude queda identificado. La detección comienza con la víctima.

En el fraude de identidad sintética, nadie llama. Nadie denuncia nada. La identidad es ficticia, por lo que no hay ninguna persona real que revise los extractos bancarios o supervise el crédito. El fraude se lleva a cabo en silencio —a menudo durante meses o años— hasta que el delincuente decide que es el momento de sacar provecho.

Esto genera una serie de problemas para las organizaciones:

• Los sistemas de detección de fraudes que se basan en anomalías de comportamiento no se activan porque la identidad sintética es el punto de referencia. No hay una «normalidad» de la que desviarse.
• Las comprobaciones de las agencias de crédito no lo detectan porque cada dato por separado —un número de la Seguridad Social real, un nombre inventado, una dirección verosímil— puede parecer legítimo por sí solo.
• La verificación basada en datos falla porque cualquier información que se pueda escribir puede ser robada o inventada. Por eso, la verificación de la identidad debe ir más allá de la simple comparación de datos.
• La recuperación es prácticamente imposible porque, cuando se produce la quiebra, la «persona» que tiene la deuda ya no existe. Las pérdidas se dan de baja como deuda incobrable.

Por eso el fraude de identidad sintética es, por su propia naturaleza, más difícil de detener que cualquier otro tipo de fraude. La ausencia de una víctima no es un efecto secundario, sino la característica que hace que todo el sistema funcione.

¿Quién sale perjudicado?: Las víctimas ocultas del fraude con productos sintéticos

Puede que no haya víctimas «visibles», pero hay personas reales que resultan perjudicadas. Los fragmentos de datos legítimos que se utilizan para crear identidades sintéticas tienen que proceder de algún sitio, y suelen proceder de los colectivos más vulnerables:

• Niños: El número de la Seguridad Social de un niño no tiene antecedentes crediticios y su titular no lo consultará hasta dentro de varios años, a veces incluso décadas. Es la base ideal para crear una identidad sintética.
• Personas fallecidas: Los datos de las personas fallecidas son objeto de abuso porque no provocan ninguna reacción por parte del verdadero titular.
• Personas mayores: a menudo tienen historiales crediticios escasos o inactivos y es posible que no controlen activamente su crédito.
• Los inmigrantes y las personas que se inician en el sistema crediticio: la escasa información de que disponen y su desconocimiento de los sistemas locales los convierten en objetivos principales del robo del número de la Seguridad Social.

Cuando un joven cumple 18 años y solicita su primera tarjeta de crédito, puede descubrir que su número de la Seguridad Social ha estado contribuyendo a la puntuación crediticia de otra persona durante años. El daño es real, aunque la identidad fuera ficticia.

El ciclo de vida de un ataque de identidad sintética

Comprender cómo se desarrolla el fraude sintético a lo largo del tiempo permite identificar en qué puntos pueden intervenir las medidas de defensa, y dónde se encuentran actualmente los puntos ciegos de la mayoría de las organizaciones.

Fase 1: Creación de la identidad

El estafador crea una identidad sintética combinando un identificador legítimo (normalmente un número de la Seguridad Social real obtenido de filtraciones de datos o de la dark web) con datos personales inventados. El Informe de Inteligencia sobre Amenazas de iProov 2025 documenta cómo las redes de «crimen como servicio» venden ahora kits de herramientas para la creación de identidades que automatizan este proceso a gran escala. Algunos estafadores van más allá y crean historias de fondo para las identidades sintéticas —perfiles en redes sociales, historiales profesionales e incluso pequeños sitios web— con el fin de añadir credibilidad.

Dónde debe tener lugar la protección: en el momento del registro, antes de que la identidad entre en el sistema. Aquí es donde la verificación biométrica facial con detección de presencia real resulta decisiva: una identidad falsa no tiene a una persona real detrás, por lo que nadie puede proporcionar la coincidencia biométrica.

Fase 2: Desarrollo del historial crediticio

La identidad falsa se introduce en los sistemas financieros y se «cultiva» con paciencia. Se abren pequeñas cuentas, se realizan pagos periódicos y se aumentan los límites de crédito. A lo largo de meses o años, la identidad va construyendo un perfil crediticio que parece legítimo. Algunos estafadores se añaden a sí mismos como usuarios autorizados en cuentas reales para acelerar el proceso.

Dónde debe centrarse la vigilancia: supervisión continua de los patrones de comportamiento asociados a identidades falsas —cuentas nuevas con una acumulación de crédito inusualmente rápida, incorporaciones de usuarios autorizados sin relación aparente, solicitantes con historiales de crédito escasos y sospechosamente limpios—.

Fase 3: La salida

Una vez que los límites de crédito son lo suficientemente altos, el estafador agota el límite de todas las cuentas, solicita todos los préstamos disponibles y desaparece. La identidad sintética se desvanece. No hay ninguna persona real a quien perseguir. Las identidades sintéticas estuvieron implicadas en el 21 % de los casos de fraude interno detectados en 2025, y las estafas de «bust-out» siguen siendo uno de los métodos más habituales para sacar provecho de estos perfiles falsos.

Dónde debería tener lugar la defensa: en realidad, no debería ser necesaria. Si una verificación de presencia auténtica detecta la identidad falsa durante el proceso de incorporación, esta fase nunca llega a producirse. Cada euro gastado en la detección de fraudes es un euro que debería haberse invertido en la verificación durante la incorporación.

Por qué la biometría básica no es suficiente

No todos los sistemas biométricos protegen por igual contra el fraude de identidad sintética. Un sistema básico de reconocimiento facial que se limita a comparar una selfie con la foto de un documento puede ser burlado si el estafador proporciona una imagen deepfake que coincida o recurre a una persona real (una «mula de identidad») para completar la verificación antes de ceder la cuenta.

Por eso es importante el tipo de verificación biométrica. Para protegerse contra el fraude de identidad sintética durante el proceso de incorporación, es necesario cumplir tres requisitos a la vez:

1. Verificación de que la persona coincide con el documento de identidad: comparación facial estándar.
2. Confirmación de que se trata de una persona real y viva que está físicamente presente, y no de una foto, una máscara, un deepfake o un vídeo insertado.
3. Confirmación de que la verificación se está llevando a cabo en este momento, y no se trata de una repetición de una sesión anterior ni de una retransmisión pregrabada.

La primera comprobación por sí sola no es suficiente. Son las tres juntas las que hacen de la verificación de la presencia real la solución estructural al fraude de identidad sintética, ya que incluso la identidad sintética más convincente se desmorona cuando se requiere la presencia física de una persona real para activarla.

Cómo resuelve iProov el fraude de identidad sintética

La tecnología Dynamic Liveness de iProov verifica las tres condiciones en una única interacción pasiva. Esto es lo que significa en la práctica frente al fraude sintético:

• Flashmark derrota a los sustitutos de deepfake. La tecnología Flashmark patentada por iProov ilumina el rostro del usuario con una secuencia de colores única e impredecible durante cada sesión. El reflejo se analiza para confirmar la presencia real en tiempo real. Cada sesión genera datos biométricos únicos que caducan inmediatamente; no pueden reproducirse, interceptarse ni sintetizarse. Esto significa que un estafador no puede utilizar un deepfake, un vídeo pregrabado o un rostro generado por IA para activar una identidad sintética. iProov es el primer y único proveedor certificado según la norma NIST SP 800-63-4 y el primero en alcanzar el nivel alto de la norma CEN/TS 18099 para la detección de ataques de inyección. Durante más de 40 días de pruebas acreditadas, no se produjo ningún ataque con éxito.
• iSOC detecta lo que los sistemas estáticos pasan por alto. El Centro de Operaciones de Seguridad de iProov (iSOC) supervisa en tiempo real los patrones de ataque en todos los clientes, zonas geográficas y plataformas. Cuando surgen nuevas técnicas para activar identidades sintéticas —nuevas herramientas de deepfake, nuevos métodos de inyección, nuevos patrones de reclutamiento de mulas—, iSOC las detecta y despliega actualizaciones defensivas a nivel mundial, sin esperar a la próxima versión del software.
• La arquitectura en la nube mantiene oculta la defensa. Toda la verificación se lleva a cabo en la nube, no en el dispositivo. Esto significa que el proceso de verificación no puede ser objeto de ingeniería inversa mediante el análisis del dispositivo, y permite la visibilidad en tiempo real que hace posible el funcionamiento de iSOC.
• La verificación pasiva no penaliza a los usuarios reales. El proceso no requiere giros de cabeza, asentimientos ni instrucciones verbales. iProov cumple con las normas WCAG 2.2 AA y la Sección 508, y cuenta con algoritmos probados para garantizar un rendimiento equitativo independientemente de la edad, el género y el tono de piel. Las tasas de finalización suelen superar el 98 %. Una prevención sólida del fraude durante el proceso de registro no tiene por qué costarle clientes auténticos.
• Más allá de la incorporación de clientes: las identidades sintéticas en el ámbito laboral

Las identidades falsas no solo tienen como objetivo a los bancos y las empresas de tarjetas de crédito. Agentes de países sujetos a sanciones de la OFAC se han infiltrado en más de 300 empresas utilizando identidades falsas y filtros deepfake para superar los procesos de contratación a distancia. Un empleado falso consigue acceso a los sistemas, los datos y los fondos, y es posible que la organización nunca se dé cuenta de que la persona que ha contratado no existe.

La suite de soluciones iProov Workforce Solution amplía la verificación de la presencia humana real a lo largo de todo el ciclo de vida de la identidad del empleado —contratación a distancia, acceso a dispositivos compartidos, autenticación reforzada y recuperación de cuentas— y subsana así la misma brecha en el proceso de incorporación que las identidades sintéticas aprovechan en los servicios al consumidor.

El Informe de inteligencia sobre amenazas de iProov de 2025 recoge las herramientas y técnicas que sustentan el fraude de identidad sintética en la actualidad. Descarga el informe completo aquí.

Para descubrir cómo iProov evita las identidades falsas durante el proceso de incorporación, solicita una demostración.

---

Preguntas frecuentes sobre el fraude de identidad sintética

¿Por qué es tan difícil detectar el fraude de identidad sintética?

Porque no hay una víctima real que lo denuncie. La identidad es falsa, por lo que nadie supervisa la cuenta en busca de actividades sospechosas. Cada dato por separado (un número de la Seguridad Social real, un nombre falso) puede parecer legítimo si se analiza de forma aislada. Los estafadores suelen cultivar identidades sintéticas durante meses o años, acumulando historial crediticio antes de llevar a cabo una estafa de «bust-out». La detección tradicional del fraude se basa en que las víctimas denuncien las anomalías; el fraude sintético elimina por completo a la víctima.

¿Quiénes corren mayor riesgo de que sus datos se utilicen en casos de fraude de identidad sintética?

Los niños, las personas fallecidas, las personas mayores y los inmigrantes son víctimas de forma desproporcionada porque es probable que sus números de la Seguridad Social tengan historiales crediticios escasos o inactivos. El número de la Seguridad Social de un niño puede ser objeto de abuso durante años antes de que este tenga la edad suficiente para darse cuenta del daño causado.

¿Cómo previene la verificación biométrica el fraude de identidad sintética?

La verificación biométrica facial con detección de presencia real requiere que una persona real y viva esté físicamente presente durante el proceso de registro. Una identidad sintética no tiene una persona real detrás, por lo que nadie puede proporcionar la coincidencia biométrica. Las soluciones avanzadas, como la tecnología Dynamic Liveness de iProov, también contrarrestan los deepfakes y los ataques de inyección que intentan suplantar a una persona ficticia utilizando imágenes generadas por IA.

¿Cuál es la diferencia entre el fraude de identidad sintética y el robo de identidad?

El robo de identidad consiste en sustraer la identidad completa de una persona real. El fraude de identidad sintética consiste en crear una nueva identidad mezclando datos reales y falsos. La diferencia fundamental es que el robo de identidad tiene una víctima que puede denunciarlo; el fraude sintético, en cambio, a menudo no la tiene, por lo que puede pasar desapercibido durante mucho más tiempo.

¿Cuál es la diferencia entre el fraude de identidad sintética y el fraude de cuentas nuevas?

El fraude de nuevas cuentas es la categoría más amplia: abarca cualquier caso en el que un estafador abre una cuenta bajo falsos pretextos, ya sea utilizando una identidad real robada o una identidad sintética inventada. El fraude de identidad sintética es una forma específica y cada vez más frecuente de fraude de nuevas cuentas, que se distingue por el hecho de que la identidad en sí misma ha sido inventada, en lugar de robada. Ambos tipos de fraude aprovechan las vulnerabilidades del proceso de alta, por lo que la verificación en el momento de la creación de la cuenta es fundamental.

¿Cómo está agravando la IA generativa el fraude de identidad sintética?

Las herramientas de IA generativa han reducido drásticamente las barreras para crear identidades sintéticas convincentes. Los estafadores ahora pueden producir a gran escala selfies deepfake realistas, documentos de identidad generados por IA e incluso huellas digitales falsas. Los mercados de «crimen como servicio» venden estas capacidades en forma de kits de herramientas ya preparados. Esto significa que las identidades sintéticas son más convincentes y numerosas que nunca, lo que convierte la verificación de la presencia real durante el proceso de registro en una medida de defensa esencial, en lugar de opcional.