Así es la identificación móvil “silenciosa” que busca frenar el fraude digital
Un estándar internacional busca terminar con las estafas desde móviles
7 minutos de lectura'
PARA LA NACIONDébora Slotnisky
A medida que crecen tanto los fraudes como los ciberataques, y que las contraseñas tradicionales y los códigos enviados por SMS pierden eficacia para resguardar la seguridad digital, comienzan a imponerse alternativas más confiables y dinámicas. Entre ellas se destaca la identificación móvil, que es una solución que valida la identidad del usuario a través de los datos de su línea telefónica y de la red móvil del operador. De esta manera, se elimina la necesidad de recordar contraseñas o realizar verificaciones adicionales.
Esta capa de seguridad tiene la particularidad de funcionar de manera completamente transparente para el usuario, por eso se la conoce como “autenticación silenciosa” porque valida la identidad sin que la persona note que está siendo autenticada. De hecho, todo el proceso ocurre automáticamente en segundo plano utilizando los datos de las redes móviles.
Para hacer posible esta solución, la asociación global de operadores de telecomunicaciones (GSMA) lanzó en febrero de 2023 la iniciativa Open Gateway. Se trata de una plataforma que estandariza APIs (interfaces de programación de aplicaciones) para que organizaciones de todos los sectores puedan acceder a servicios de verificación de identidad, control de fraudes y localización segura.
“Hoy más del 90% de las conexiones móviles en Latinoamérica ya están cubiertas por Open Gateway. Eso permite que bancos, fintechs, comercios y aseguradoras integren capas invisibles de seguridad que verifican en segundos si un número fue clonado, si el dispositivo es legítimo o si la línea cambió de manos. El usuario no ve nada, pero está protegido”, explica Alejandro Adamowicz, ICT Executive en GSMA Latin America.
El ejecutivo agrega que en la región tres grandes operadores concentran el 75% de las conexiones móviles, lo que facilita la adopción y estandarización. “Estamos más adelantados que otras regiones del mundo porque hay menos fragmentación entre operadores”, aclara.
El contexto: fraudes en alza sin precedentes
La necesidad de esta tecnología se entiende al analizar el panorama actual. Las estafas digitales crecen a un ritmo sin precedentes. “Registramos 6,3 millones de intentos ataques diarios de malware en América Latina en los últimos 12 meses, lo que equivale a 12 ataques por minuto”, explica a Fabio Assolini, Director del equipo global de investigación y análisis para Américas de la firma de seguridad informática Kaspersky, y señala que Latinoamérica es la región del mundo con el aumento más rápido de ciberdelincuentes, registrando una tasa de crecimiento anual del 25% entre 2014 y 2023.
Dentro de este universo digital, el fraude de identidad móvil representa una de las amenazas más preocupantes. En estos casos, los delincuentes suplantan la identidad de otros usuarios, utilizando sus credenciales móviles como puerta de entrada a sus cuentas digitales.
Entre los ataques más frecuentes se encuentra el SIM Swap, una modalidad donde los estafadores engañan a los proveedores de telefonía móvil para transferir el número telefónico de la víctima a una tarjeta SIM bajo su control. Este método les permite interceptar códigos de verificación y acceder a cuentas bancarias y aplicaciones. “Otro vector de ataque tradicional que persiste es el robo de contraseñas mediante técnicas de phishing e ingeniería social”, agrega Assolini.
Los fraudes que busca combatir la identificación móvil
Una de las amenazas en mayor crecimiento es el fraude en el onboarding digital, es decir, el proceso de alta de nuevos clientes. “Este ataque apunta directamente al procedimiento que utilizan las entidades financieras para verificar identidades. Hoy, los delincuentes se apoyan en herramientas de inteligencia artificial para crear identidades falsas: generan videos sintéticos capaces de imitar gestos naturales como girar la cabeza, sonreír, parpadear, que es exactamente los movimientos que exigen los sistemas de verificación durante el registro”, dice Assolini. El impacto de este fraude es crítico, porque se logra abrir una cuenta bancaria con datos robados de una persona real, pero validada con imágenes y videos creados por IA. Luego, estas cuentas se convierten en vehículos para delitos financieros.
Otro problema es el SIM Swapping: “Yo fui víctima de este fraude en 2019”, cuenta el especialista de Kaspersky, y relata el hecho: “Estaba de viaje laboral en el exterior. El primer día todo funcionaba normal, pero al siguiente mi celular se quedó sin señal. Reinicié varias veces y no lograba solucionar el tema. Cuando llamé a mi operadora, me informaron que mi número había sido reportado como perdido y transferido a otra SIM, algo que yo nunca había solicitado. Por suerte, logré recuperarlo de inmediato”, recuerda.
Cómo funciona la autenticación dinámica
“Durante años, los bancos y otras empresas, como las plataformas de redes sociales, confiaron en el SMS como segunda capa de seguridad, pero el Banco Central de la República Argentina no lo considera seguro porque podría ser interceptado”, explica Gabriel Chapt, CEO de Plusmo, una firma que integra soluciones de identidad móvil que funcionan en segundo plano.
Guillaume Bourcy, Chief Identity Officer en Global Telco Consult (GTC), lo pone en perspectiva: “El SMS fue útil y universal durante muchos años, pero hoy es caro y vulnerable. La identidad móvil permite aumentar la seguridad y reducir barreras. Además, se adapta al contexto: no es lo mismo aprobar una transferencia millonaria que un simple inicio de sesión. La autenticación invisible se combina con biometría u otros factores según el caso”.
La clave, dice Bourcy, está en la orquestación dinámica: distintos factores que se suman o no dependiendo del riesgo. Así, la experiencia del usuario es más fluida y el fraude más difícil de concretar. Assolini coincide: “La idea es que automáticamente se vayan añadiendo pasos para autenticar al usuario según el nivel de sospecha para no recargarlo de tareas, ya que también se trata de mejorar su experiencia de usuario”.
Por su parte, Guillermo Pacheco, Director de Nuevos Negocios para LATAM en Incode, firma especializada en verificación de identidad y prevención del fraude, refuerza esta visión: “Hablamos de la necesidad de implementar múltiples capas de seguridad, porque no existe una solución mágica”. Y añade: “El objetivo es reducir el riesgo sin comprometer la experiencia del usuario. Por eso hablamos de un ecosistema de prevención del fraude basado en capas complementarias, como la identificación móvil y las soluciones biométricas, entre otras”.
Qué significa la identificación móvil para los usuarios
A medida que se implementen soluciones de identificación móvil, los usuarios dejarán de recibir SMS con códigos y tokens. Tampoco deberán recordar contraseñas y, si alguien roba la clave, la red puede detectar si la SIM fue clonada o si se está accediendo desde un dispositivo sospechoso. Además, se supone que los procesos de registro y login serán más rápidos, incluso para abrir una cuenta bancaria o validar una compra online.
“Gracias a este sistema, las empresas pueden consultar la información de los operadores de telecomunicaciones a través de las APIs, y saber a qué compañía pertenece una línea, si el chip fue portado y cuándo ocurrió esa portación. Con esos datos, se detectan movimientos sospechosos y se evita que un delincuente se adueñe de la identidad móvil de la víctima”, explica Chapt.
El impacto no es solo técnico, también económico: al reducir fraudes, las empresas se ahorran millones en pérdidas.
¿Es realmente seguro lo invisible?
La promesa de esta capa de seguridad es tentadora: mayor seguridad, menor fricción y mejor experiencia de usuario. De todos modos, el experto de Kaspersky recuerda que “los sistemas invisibles son un avance enorme, pero no son inmunes porque los atacantes siempre están evolucionando. Por eso, el desafío es siempre doble: por un lado, robustecer la tecnología y, por el otro, informar al usuario para que entienda que, aunque note cambios, está protegido”.
Adamowicz, por su parte, cree que el usuario debería estar informado acerca de la capa invisible que lo está protegiendo. Por eso, recomienda que la comunicación sea parte del proceso: explicar al cliente que la validación existe, aunque no la note.
Más allá de las bondades de esta “capa invisible”, los expertos coinciden en que, por ahora, lo ideal es que exista un ecosistema híbrido: identidad móvil como capa base, biometría como factor adicional según el contexto; y otros elementos que se combinen para garantizar la seguridad.
