Durante el último año, el fraude basado en la creación de identidades sintéticas cobró fuerza en Colombia y otros mercados de la región. Esta modalidad afectó sectores estratégicos como el financiero, telecomunicaciones, salud y retail digital, y puso en alerta a fabricantes, mayoristas y canales que operan en el entorno TIC.
La evolución del crimen digital ha traído consigo nuevas formas de ataque que desafían los sistemas de autenticación tradicionales. Una de las más sofisticadas ha sido el fraude por identidad sintética, un fenómeno que se consolidó en el último año como una amenaza silenciosa y de difícil detección, según lo alertaron especialistas y compañías de información crediticia como TransUnion.
A diferencia del robo de identidad convencional, donde se suplanta directamente a una persona, la identidad sintética se construyó a partir de fragmentos de datos reales obtenidos de distintas fuentes. Estos fragmentos —nombre, número de documento, dirección, correo electrónico— se combinaron para crear un nuevo perfil digital que aparentaba autenticidad, pero que no correspondía a ninguna persona real en su totalidad.
El proceso para fabricar estas identidades tomó entre seis meses y un año, y fue alimentado por prácticas comunes de ingeniería social, como el envío de mensajes fraudulentos (smishing), llamadas engañosas (vishing) o enlaces falsos en sitios web clonados (phishing). A través de estos métodos, los ciberdelincuentes extrajeron información que luego utilizaron para solicitar productos financieros, acceder a servicios digitales o abrir cuentas en plataformas de comercio.
Aunque el principal impacto se evidenció en el sector financiero, donde estas identidades falsas se utilizaron para obtener créditos de bajo monto, tarjetas de crédito o productos de consumo sin garantía, la modalidad también alcanzó a otros sectores vulnerables, como el asegurador, salud, telecomunicaciones, educación digital y plataformas de e-commerce.
En el ámbito tecnológico, los efectos de esta práctica delictiva también se hicieron evidentes. Canales de distribución, integradores de soluciones, desarrolladores de plataformas y fabricantes de tecnología empezaron a identificar brechas asociadas a la validación débil de usuarios finales. Las soluciones tecnológicas sin mecanismos sólidos de autenticación pasaron a representar un riesgo, no solo para los clientes, sino también para la reputación de las marcas involucradas en su comercialización.
La complejidad de este tipo de fraude radicó en su capacidad de pasar desapercibido. Muchos de los perfiles creados con identidad sintética tenían un comportamiento digital y crediticio similar al de usuarios legítimos. Esto dificultó su detección en los sistemas tradicionales de verificación. Para los proveedores tecnológicos y sus socios de canal, este fenómeno representó un desafío adicional en la cadena de valor: ¿cómo asegurar que quien solicita, activa o usa una solución digital es quien dice ser?
La respuesta pasó por una revisión integral de los procesos de validación. Empresas como TransUnion recomendaron el uso de múltiples factores de autenticación, la revisión periódica de los historiales crediticios y la participación en redes colaborativas de detección de fraude. Además, se promovió la adopción de soluciones de verificación biométrica, el análisis de comportamiento en plataformas y el uso de inteligencia artificial para identificar patrones inusuales.
Desde el punto de vista de los fabricantes de dispositivos y soluciones digitales, el fenómeno también impulsó un cambio. Las nuevas líneas de producto comenzaron a incluir capacidades nativas de seguridad —como chips de seguridad TPM, módulos de cifrado, sensores biométricos y sistemas operativos con autenticación reforzada—, buscando mitigar la vulnerabilidad de los dispositivos frente a este tipo de fraude.
A nivel de mayoristas y canales, el reto fue doble: por un lado, seleccionar y distribuir productos con mejores estándares de seguridad, y por otro, actuar como asesores confiables frente a clientes que muchas veces desconocían estos riesgos. La capacitación a equipos de ventas y soporte técnico se convirtió en una prioridad para muchos actores del canal, en la medida en que el conocimiento de estas amenazas comenzó a ser un factor diferenciador frente a la competencia.
El riesgo reputacional también fue un elemento que entró en juego. Una empresa tecnológica cuya plataforma fuera utilizada para validar usuarios con identidad sintética podía enfrentar reclamos, pérdida de confianza e incluso sanciones regulatorias, dependiendo del nivel de impacto causado. En ese sentido, varios actores del ecosistema comenzaron a trabajar en esquemas de gobernanza de identidad digital más estrictos y en alianzas intersectoriales para compartir información y alertas de fraude.
El auge del fraude por identidad sintética dejó una lección clara para todo el sector TIC: la seguridad ya no puede limitarse al perímetro de la infraestructura o al software. La validación de identidad, tradicionalmente delegada a terceros o tratada como un trámite, pasó a ocupar un rol estratégico. Para fabricantes, mayoristas y canales, esto implicó repensar su oferta, fortalecer sus capacidades de asesoría y adoptar un enfoque de seguridad centrado en el usuario, con una mirada transversal que abarca desde la creación del producto hasta su uso final.
