¿Quién le teme a los fantasmas digitales? El fraude sintético y la crisis de identidad

Welcome to the first post from Forcepoint's 2023 Future Insights series, which offers insights and predictions on cybersecurity that may become pressing concerns in 2023.
The following post from Audra Simons, Senior Director of Global Products, G2CI kicks off this year's Future Insights series:

Zero Trust CDR Business Use Cases
El mundo se está volviendo cada vez más digital, y el metaverso es quizás el ejemplo más visible de esta digitalización. Sin embargo, ¿está surgiendo una crisis de identidad en línea?
Quizás su cliente no exista
Cuanto más compramos, hablamos, navegamos o realizamos operaciones bancarias en línea, existen menos oportunidades de verificar la identidad de una persona. Algunos pueden señalar el hecho de que se necesita de una tarjeta de crédito, o un pasaporte, o algún tipo de identificación genuina emitida por un Gobierno, para participar de todo esto.
Sin embargo, los estafadores de identidades sintéticas ya abundan en el sector financiero. Estos “combinan” identidades, formándolas a partir de fragmentos de información de identificación que tomaron de datos de identidades robadas. Las empresas deberán afrontar un costo estimado de USD $2430 millones en fraudes para 2023 debido a esto, según el Aite Group.
Estos fantasmas de la identidad son más malévolos que amistosos, y utilizan una combinación de información personal real y falsa para crear identidades virtuales. En lugar de cometer delitos de fuerza bruta, estos ladrones digitales utilizan la información robada con el objeto de comenzar a crear una calificación de crédito para una persona que no existe.
Después de no mucho tiempo, el rastro de registros que dejaron atrás –solicitudes de créditos o préstamos, compras en línea y otras actividades– precede a cualquier identidad real. A partir de entonces, pueden sacar préstamos y aprovecharse de límites crediticios altos sin ninguna intención de devolverlos.
La conexión entre la identidad digital y los servicios
Si el fraude de identidad digital ya es un problema, entonces, ¿por qué es causa de preocupaciones futuras?
Ya hemos visto las críticas al contenido vinculado con la identidad en los últimos años, cuando se descubrió que entre el 5 y el 15 por ciento de los usuarios de Twitter son bots y no personal reales. Y se trata de identidades sintéticas con una agenda maliciosa: dar forma a la conversación de la “plaza del pueblo digital” para cambiar la opinión pública.
A medida que más servicios gubernamentales pasan a estar en internet, como el acceso a la asistencia social o los servicios tributarios, el deseo de pasar todo a la red crece.
El Reino Unido intentó lanzar una plataforma de garantía de la identidad digital llamada GOV.UK Verify.
Tenía un objetivo simple: verificar la identidad a través de una cantidad pequeña de instituciones financieras de confianza con los socios Digidentity y el servicio de correos Post Office, y obtener acceso a servicios públicos en línea.
Desde entonces, ya nadie habla de Verify y el Post Office ni siquiera acepta clientes nuevos. No obstante, el deseo de crear una plataforma de identidad digital continúa: el Gobierno del RU recientemente reveló planes para reinventar el programa.
No resulta increíble pensar que, en el futuro, algún tipo de “Verify” se ampliaría a la mayor parte del contenido con el que interactuamos en internet; desde la banca a las redes sociales y la compra de comestibles, nuestra identidad digital puede ser accesible en toda la web.
Esto no está muy lejos de la teoría de las cadenas de bloques (blockchain)."
Sin embargo, una de las características de las cadenas de bloques, que no es inmediatamente visible en un programa del estilo de Verify, es la inmutabilidad o fiabilidad de la información. El nivel de confianza que debería extenderse a estas identidades digitales tendría que ser infalible.
Eso es difícil de hacer cuando ya sabemos que las compañías a las que confiamos la tarea de verificar identidades son víctimas de fraude sintético a escala masiva.
Cómo proteger el futuro de la identidad
A pesar de los problemas que enfrenta hoy la interconexión del sector financiero con la identidad digital, estos crecerán más con el tiempo.
Dado que los banqueros, prestamistas y acreedores parecen estar decididos a convertirse en los abanderados de la identidad digital, surge una pregunta muy importante: ¿son estas empresas lo suficientemente seguras para almacenar toda esa información?
Estas instituciones tendrán que recopilar pasaportes, documentos legales, informes financieros y otros documentos confidenciales a nivel nacional para verificar las identidades. Hablamos de millones de documentos de los solicitantes inundando a estas empresas, y cualquiera de ellos podría contener un malware dentro.
Para esta actividad, estas empresas necesitan mantenerse protegidas durante el proceso de recopilación de documentos en línea. Es entonces que el Zero Trust Content Disarm and Reconstruction (CDR) se vuelve invaluable.
El Zero Trust CDR supone que no se puede confiar en nada y, en lugar de intentar detectar malware, extrae la información comercial válida, verifica que esté bien estructurada, y luego crea archivos nuevos y totalmente funcionales, todo en apenas segundos.
La herramienta es útil para una industria que debe evaluar documentos que los usuarios envían de manera constante. Cuando se utiliza un sitio web en un proceso de préstamo, las organizaciones también deben usar Remote Browser Isolation (RBI) para limitar todo ataque malicioso potencial. El RBI permite que los usuarios naveguen e interactúen con la web al neutralizar de manera segura las amenazas en internet alojando las sesiones de navegación web de los usuarios en un servidor remoto en lugar de en el dispositivo final del usuario, lo que separa el contenido web del dispositivo del usuario con el objeto de reducir la superficie de ataque.
Erradicar el fraude de identidades sintéticas será un gran desafío que tomará años resolver. Si bien el Zero Trust CDR y el RBI no impiden el fraude de identidades sintéticas, alivian las inquietudes de seguridad para una industria que pronto podría contar con toda su información confidencial, si es que ya no la tiene.
Todavía no podemos verificar completamente que la información de una entidad en internet sea real. Sin embargo, lo menos que podemos hacer es verificar que los datos recopilados sobre una identidad sean seguros.