Fraude de identidad sintética
Page Article
¿Qué es el fraude de identidad sintético?
Synthetic Identity Fraud (SIF) is fraud involving the use of a fictitious identity. Fraudsters typically create false or “synthetic” identities by combining stolen or fictitious Social Security Numbers (SSNs) with false personal information. They create these new identities for a variety of reasons, such as obtaining credit cards and loans, opening deposit accounts, and obtaining driver's licenses and passports.
El SIF es significativamente diferente del fraude de identidad tradicional. En el fraude de identidad tradicional, un estafador se hace pasar por otra persona real y utiliza su crédito. El fraude de identidad tradicional suele denunciarse con relativa rapidez, ya que la mayoría de las víctimas se dan cuenta cuando se realizan transacciones no autorizadas en sus cuentas. El SIF, en cambio, puede pasar desapercibido durante meses o años, ya que no hay una víctima inmediata.
- Fraud for nefarious activities - This is the category that results in most of the financial losses and poses the greatest threat to the financial system, government programs, and national security. Fraud for nefarious activities refers to a deliberate, organized, and sometimes large-scale scheme to liquidate credit accounts, launder money or fraudulently obtain government benefits. Criminals use these large-scale schemes to fund organized crime, terrorism, and other illicit activities.
- Fraude para vivir - Algunas formas de fraude de identidad sintética no están motivadas por el deseo de robar dinero. Un individuo puede asumir una identidad sintética para que le resulte más fácil vivir o trabajar en los EE.UU. Hay algunos casos que implican a inmigrantes indocumentados que utilizan SSNs inventados o robados para obtener servicios financieros. Aunque sigue siendo una forma de fraude, estos ladrones de identidad sintética no buscan robar dinero de las instituciones financieras. Sólo quieren un SSN reconocido para facilitar el cobro y tener acceso a cuentas bancarias y tarjetas de crédito para realizar pagos y compras.
- Fraude para la reparación del crédito - Un individuo crea una identidad falsa utilizando un SSN robado o falso combinado con su nombre real para construir un historial de crédito alternativo. Esto se hace a menudo a través de agencias de reparación de crédito poco fiables que ofrecen préstamos y líneas de crédito con poca o ninguna verificación de la identidad.
Razones para el crecimiento
- Randomization of SSNs - Social Security Numbers issued before 2011 consisted of a three-digit geographic number, a two-digit age group number, and a four-digit serial number. SSNs issued since 2011 are a series of random numbers with no geographical or group identifiers. This randomization makes it harder for financial institutions to match a SSN with an applicant’s place and date of birth. Before 2011, the Social Security Administration (SSA) published a list of all SSN geographic and group numbers ever issued, which allowed financial information to spot fake SSNs relatively easily. This type of list is no longer produced.
- More compromised Personally Identifiable Information (PII) available - In the past 10 years, there have been a number of major data breaches, making hundreds of millions of individuals’ PII available for sale on the dark web. Accordion to the Federal Reserve, between 2017 and 2018 alone, more than 446 million records containing PII were exposed. Dark websites sell these breached records, which often include SSNs.
- Use of SSNs as a primary identifier - SSNs were originally created to track individuals’ earnings and benefits, but have evolved into the main way that public and private organizations determine that an individual is legitimate.
- Lagunas en el proceso crediticio - La forma en que se establece el crédito en Estados Unidos contribuye a la proliferación de las SIF. La primera vez que un defraudador solicita un crédito en una institución financiera utilizando una identidad sintética, suele ser rechazado, pero la oficina de crédito crea automáticamente un nuevo perfil crediticio. Este nuevo perfil crediticio se convierte en la llamada "prueba" de existencia de la identidad sintética. La oficina de crédito da por sentado que el primer solicitante que utiliza un determinado SSN es legítimo.
- Increased use of electronic credit applications - With the increase in online banking, it has become more common for people to apply for bank accounts, credit cards, and loans online. This does not give a lender the opportunity to perform basic Know Your Customer (KYC) checks, nor to use the existing SSA Consent Based Social Security Number Verification service, which requires a “wet” (written on paper) signature.
Cómo los estafadores crean identidades sintéticas
Typically, fraudsters will use a real Social Security number (SSN) and pair it with a name not associated with that number. Synthetic identities are often constructed using stolen SSNs belonging to children since they have been issued since 2011 and the fraudulent use of their SSNs probably won’t be discovered for years — until the legitimate SSN owner is applying for credit or employment sometime in the future. Children’s SSNs are 51 times more likely to be used in synthetic fraud schemes than adults. More than one million children were victims of identity theft or fraud, including SIF, in a single year. When a child whose SSN has been compromised becomes “credit active”, they will face an uphill battle proving:
a) que el SSN les pertenece realmente; y
b) que no era la persona a la que se le imputaron las actividades.
Although used less frequently than children’s SSNs, fraudsters may also use SSNs of elderly people, people in prison, homeless people, and sometimes even people who are deceased. In other cases, a fraudster may create a completely fake identity with a non-existent SSN, name, date of birth, and address.
Algunos estafadores toman medidas adicionales para que sus identidades sintéticas parezcan legítimas. Solicitan números de teléfono, crean cuentas de correo electrónico y de redes sociales, son activos en las redes sociales utilizando sus identidades sintéticas y, en algunos casos, piratean y añaden sus identidades sintéticas a las bases de datos públicas utilizadas por las instituciones financieras para verificar la información de identidad.
En algunos casos, los estafadores pueden crear una empresa artificial. Una vez creada la empresa, el defraudador crea identidades falsas para los empleados.
Cómo los defraudadores obtienen crédito por sus identidades sintéticas
Applying for credit at a bank - Once the fraudster has created a synthetic identity, they apply for credit at a bank. Since there is no credit history, they will generally be turned down the first time, but by applying, a credit profile is created for the synthetic identity. The fraudster then applies to other lenders until one of them approves them for a small amount of credit. As an example, they may get a credit card with a limit of $500. They use the credit card for a few months, paying it off each month, to establish good credit. They will then apply for credit cards with higher limits or other types of credit.
Piggybacking on a legitimate account - Fraudsters actively recruit credit card holders with good credit to add an authorized user to their account. This authorized user is a synthetic identity. The fraudster doesn’t attempt to use the synthetic identity while piggybacking. They just let it sit idle for 2-3 months. This gives the credit reporting agencies time to report on the credit of the synthetic authorized user, and the credit rating they receive is generally based on the credit rating of the credit card holder. Once the synthetic identity has received a favorable credit rating, the fraudster will remove it from the account of the original credit card holder and will use the synthetic identity to apply for its own credit cards and loans.
The Pay-Off - Fraudsters may use their synthetic identities’ bank accounts, credit cards and loans responsibly for months or even years in order to build up their credit score and history. After paying off balances regularly over a period of time, their credit score improves and they can apply for a higher credit limit. At a certain point, they max out the credit cards and loans with no intention of repaying them. This is known as credit bust-out fraud or sleeper fraud.
Algunos defraudadores utilizan sus identidades sintéticas para "reventar" más de una vez. Llevan al máximo las tarjetas de crédito y los préstamos de sus identidades sintéticas, y luego alegan que fueron objeto de un robo de identidad para convencer a las instituciones financieras de que anulen los cargos y reabran las líneas de crédito.
Being patient and playing the long game can be very lucrative for fraudsters. One fraud ring in New Jersey built up 7,000 credit profiles in a scheme that created over $200 million in fraud losses.
Ir más allá de los protocolos de Conozca a su Cliente (KYC)
Conozca a su cliente (KYC) es un término general utilizado para la verificación de la identidad de los clientes antes de desarrollar cualquier relación comercial con ellos. Para cumplir con las leyes de CSC, las instituciones financieras (y otras) están obligadas a desarrollar procesos de identificación de clientes y a verificar a sus clientes de forma regular.
Las comprobaciones KYC son un punto de partida, pero a menudo existen lagunas en los protocolos KYC de los prestamistas. Un estudio reciente descubrió que solo la mitad de las solicitudes de crédito con identidad sintética se realizaban en línea, lo que indica que un número importante de defraudadores son capaces de pasar las comprobaciones KYC incluso cuando presentan la solicitud en persona.
Between weak KYC protocols and traditional, manual processing procedures, once accounts are opened, synthetic identities can go undetected for months or years. To complicate matters further, synthetic identity profiles generally have strong credit scores, so there tend to be fewer red flags during credit underwriting and credit checks.
Atención a las banderas rojas
Hay una serie de banderas rojas a las que hay que prestar atención mientras se procesan las solicitudes de crédito o se supervisa la actividad de los clientes. Algunas pueden identificarse manualmente; otras pueden requerir procesos de análisis de enlaces o sistemas de análisis de fraude. Centrarse en una sola característica puede dar lugar a falsos positivos o a la identificación errónea de ciertos tipos de clientes legítimos, como los inmigrantes recientes con un historial crediticio corto. Es importante buscar entre múltiples características y fuentes de datos para identificar las identidades sintéticas.
- El SSN no se puede relacionar con el cliente específico.
- El SSN coincide con una persona diferente, mientras que no hay ningún archivo de crédito disponible para el solicitante solicitado.
- El SSN coincide con una persona diferente. Existe un archivo de crédito para el nombre y la dirección proporcionados, pero el SSN de ese archivo es diferente del SSN proporcionado en la solicitud.
- La profundidad del archivo de crédito del solicitante no es coherente con la edad del cliente u otra información de su perfil.
- Hay múltiples identidades con el mismo SSN.
- Hay varias solicitudes desde el mismo número de teléfono, dirección postal, dirección de correo electrónico o dirección IP.
- El SSN fue emitido después de 2011.
- Hay varios usuarios autorizados en la misma cuenta.
Participar en el Servicio eCBSV
The Social Security Administration (SSA) recently launched a new service, electronic Consent Based Social Security Number Verification (eCBSV), for financial institutions to help with fraud protection data. eCBSV allows financial institutions to verify if an individual’s SSN, name, and date of birth combination match Social Security records. The SSA introduced the original Consent Based Social Security Number Verification (CBSV) service in 2008. This service enables paid subscribers, upon written consent from the SSN holder, to verify that a name, SSN, and date of birth combination matches (or does not match) the SSA’s records. However, this service is paper-based and does not offer real-time verification.
The fee-based eCBSV works largely the same way as the original service, but will allow individuals to provide consent electronically rather than with a “wet” signature, and will allow financial institutions to validate the information in real-time. eCBSV returns a match verification of “Yes” or “No.” If its records show that the SSN holder is deceased, eCBSV returns a death indicator. The eCBSV service only allows for customer information validation for new accounts.
The service was initially rolled out to select institutions in June 2020 and is being made available to more financial institutions from 2021 on.
Compartir información
En un reciente foro de la Oficina de Rendición de Cuentas del Gobierno (GAO), los expertos en la materia destacaron la importancia de compartir información, tanto a nivel interno como en el sector de los pagos.
Within your company - It is recommended that financial institutions work to break down internal barriers to facilitate sharing of information across product lines. Synthetic identity fraudsters usually open multiple accounts at the same institution. If a synthetic identity has a credit card, it may also have a direct deposit account, car loan, mortgage, and/or line of credit. If the identity busts out on one account, it is likely to bust out on other accounts around the same time. Connecting all accounts owned by the same synthetic identity helps minimize losses.
Among financial institutions - Section 314(b) of the USA Patriot Act allows participating financial institutions to share customer information with one another in support of their own due diligence, compliance, and reporting requirements. Section 314(b) also allows for sharing of information that relates to money laundering and terrorism. Some instances of SIF may be for these purposes, but it is a bit of a legal gray area.
Hable con su asesor legal antes de compartir la información de identidad sintética sospechosa fuera de su empresa.