Por: Leonardo González, líder de estrategia de Ivanti.
La detección de identidades sintéticas se ha convertido en uno de los mayores desafíos de la ciberseguridad moderna. Las amenazas a la identidad digital no dejan de crecer. Los deepfakes monopolizan la cobertura mediática, los ataques de phishing se han vuelto rutina, y los casos de trabajadores de TI norcoreanos infiltrándose en grandes corporaciones ya no sorprenden a nadie.
Puede que estos casos acaparen toda la atención, pero creo que deberíamos hablar más de otra amenaza a la identidad. La amenaza de la que hablo es más sutil, pero enormemente insidiosa. Los actores maliciosos ya usan la IA para ensamblar datos públicos y personales filtrados y construir con ellos identidades sintéticas. Me refiero a personas que se ven y actúan como personas reales porque están construidas a partir de datos reales, solo que rearmadas en alguien que no existe.
Estas identidades sintéticas son un problema serio porque los sistemas de detección de fraudes no fueron diseñados para esto. Necesitamos modelos de IA entrenados para reconocer comportamiento humano anómalo e intención maliciosa.
La urgencia es real en todas partes, especialmente en América Latina. Según LexisNexis Risk Solutions, el fraude de identidades sintéticas representa cerca del 48% de los incidentes en la región, cifra que refleja tanto la sofisticación de los ataques como la brecha en las defensas actuales. Las organizaciones no pueden esperar a que esto se normalice globalmente. Necesitan actuar ahora.
Cómo funcionan las identidades sintéticas y por qué evaden la detección tradicional
Las identidades sintéticas se construyen a partir de datos legítimos, direcciones reales, historiales laborales reales, conexiones sociales reales, que se mezclan y combinan para crear una personalidad convincente. Cada dato es válido. La combinación es inventada.
Los sistemas de detección de fraudes buscan patrones «malos» conocidos: información prohibida, credenciales previamente marcadas, verificaciones de velocidad. Eso funciona cuando los atacantes reutilizan la misma información fraudulenta. Pero las identidades sintéticas generalmente no se reutilizan. Cada una se construye desde cero a partir del enorme volumen de datos personales que circulan en internet y en las bases de datos de brechas de seguridad. Para cuando hayas marcado una, el atacante ya estará construyendo la siguiente.
Verificación de identidad basada en comportamiento: el enfoque que sí funciona
Los seres humanos reales tienen patrones: cómo escriben, cuándo están activos, a qué sistemas acceden y en qué orden, cómo reaccionan cuando algo inesperado ocurre. Hay un ritmo en la forma en que las personas trabajan. Podríamos llamarlo cadencia humana.
Las identidades sintéticas, incluso las bien construidas, tienen fisuras. El comportamiento se siente extraño. Los patrones de acceso no cuadran con el rol. La actividad aparece a horas inusuales. Cuando se les somete a una verificación de rutina, la respuesta parece ensayada. No es tan obvio como un deepfake mal hecho, pero es muy fácil caer en la trampa.
Los modelos de IA entrenados en comportamiento humano pueden detectar esas fisuras. No comparando contra una lista de firmas maliciosas conocidas, sino notando cuando algo simplemente no cuadra con cómo actúa una persona real.
Cómo implementar la detección de identidades sintéticas en la práctica
Cuando los profesionales de seguridad proactivos diseñan funciones de seguridad, las analizan desde dos ángulos: cómo las usarán los clientes y cómo podrían explotarlas los atacantes. Analizar las capacidades desde la perspectiva del adversario es lo que debe guiar estas decisiones.
La verificación de identidad requiere el mismo enfoque. Debemos dejar de preguntarnos si una identidad tiene credenciales válidas. Debemos preguntarnos si se comporta como la persona que dice ser.
La mayoría de las organizaciones no están preparadas para detectar identidades sintéticas
La mayoría sigue confiando en la autenticación por credenciales y la detección de fraudes basada en reglas. Verifican usuario y contraseña. Comprueban que el documento de identidad no esté en una lista negra. Dan por bueno el resultado y siguen adelante.
Eso no resiste frente a identidades sintéticas diseñadas precisamente para pasar esos controles.
Migrar hacia la detección basada en comportamiento requiere inversión. Significa replantearse por completo cómo funciona la verificación de identidad y aceptar que las credenciales solas no prueban que alguien sea quien dice ser. Hay que observar cómo se comportan con el tiempo. Eso implica más trabajo al principio, pero es una de esas situaciones en las que un gramo de prevención vale, a la larga, muchos kilos de cura.
