Ves al contingut principal
Didit recapta 7,5M $ per construir la infraestructura per a identitat i frau
Didit
Torna al blog
Blog · 21 de maig del 2026

Com els estafadors obren comptes bancaris — i com aturar-los (CA)

Identitats robades, identitats sintètiques, atacs de liveness deepfake, reclutament de mules de diners, ofuscació de dispositius: aquí teniu el manual exacte que utilitzen els estafadors per obrir comptes bancaris i els controls.

Per DiditActualitzat el
how-fraudsters-open-bank-accounts.png

Cada compte bancari fraudulent comença en el procés d'alta. Quan els analistes de frau veuen el dany —les transferències no autoritzades, els fons blanquejats, la línia de crèdit obtinguda amb una identitat fabricada— el compte ja ha passat el KYC. L'explotació va ocórrer abans que el client existís.

Aquesta publicació desglossa el manual que utilitzen els estafadors, pas a pas, i assigna cada tècnica al control que la deté.

Conclusions clau

  • El frau en l'obertura de comptes es desenvolupa en cinc etapes superposades: adquisició d'identitat, producció de documents, elusió de la prova de vida, ofuscació de dispositius i xarxes, i activació de mules post-obertura.
  • Cada etapa té una contramesura tècnica específica. Els estafadors busquen la correcció d'una sense les altres.
  • El flux bàsic de KYC —Verificació d'Identitat + Prova de Vida Passiva + Coincidència Facial 1:1 + Anàlisi de Dispositius i IP— tanca els vectors més comuns a 0,33 $ per comprovació.
  • La detecció de blanqueig de capitals (AML Screening) detecta identitats de mules de diners que van passar les comprovacions de documents perquè la identificació era genuïna; la persona va ser reclutada, no fabricada.
  • L'Anàlisi de Dispositius i IP detecta anells de frau mitjançant DUPLICATED_DEVICE_FINGERPRINT i DEVICE_RECOVERED_HIGH_CONFIDENCE — els senyals que apareixen quan un operador realitza moltes sessions d'alta des d'un grup compartit de màquines.

Etapa 1: Adquisició d'identitat

Abans que qualsevol estafador toqui el vostre flux d'alta, necessita un nom, una data de naixement i un número de document que passi una comprovació de base de dades. Hi ha tres maneres d'aconseguir-ho.

Les identitats robades són el punt de partida més comú. Les violacions de dades, el phishing i els mercats de la dark web donen als estafadors accés a noms reals, adreces, números d'identificació i, de vegades, escanejos del document original, la majoria del que demana un flux de KYC.

Les identitats sintètiques combinen elements reals i inventats —un número de seguretat social genuí (o número d'identificació nacional) aparellat amb un nom i una data de naixement fabricats. Com que el número d'identificació és vàlid, les comprovacions de format i suma de control passen. El frau sintètic és especialment costós en contextos de crèdit perquè construeix un historial abans de retirar els diners.

La identitat com a servei és la versió organitzada: xarxes criminals que venen kits complets —imatges de documents antics, factures de serveis públics i instruccions per al flux d'alta específic que ja han provat.

Què ho atura: Verificació de documents més enllà de les comprovacions de format —OCR en més de 14.000 plantilles de documents, anàlisi de MRZ i codis de barres, lectura de xips NFC— combinada amb la validació de bases de dades contra registres governamentals. Les identificacions reals robades i les identificacions sintètiques fabricades deixen signatures diferents en aquesta capa.

Etapa 2: Falsificació i manipulació de documents

Un número d'identificació robat és inútil sense una imatge que coincideixi. Els estafadors produeixen documents de tres maneres.

L'edició de plantilles és el nivell d'entrada: comprar un escaneig d'alta resolució d'un document legítim i substituir la foto i les dades en una eina de frau. Les falsificacions barates són òbvies; les ben produïdes requereixen models d'aprenentatge automàtic entrenats per detectar-les.

Els documents impresos i tornats a fotografiar eludeixen algunes defenses de detecció d'injecció. L'estafador imprimeix el document falsificat, el fotografia amb bona il·luminació i envia el resultat, intentant introduir els artefactes físics (gra, ombra, reflex) que els classificadors de documents esperen d'una captura genuïna.

Els documents generats per IA són un vector emergent: models generatius que produeixen imatges de documents sintètiques prou realistes per enganyar els revisors humans.

Què ho atura: Anàlisi de la prova de vida del document (detecció de superfícies planes/impreses), comprovacions de consistència multi-fotograma i classificadors d'aprenentatge automàtic entrenats en patrons de frau. La lectura de xips NFC és la contramesura més difícil: si el xip es valida criptogràficament, el document és genuí.

Etapa 3: Elusió de la prova de vida — vèncer les comprovacions biomètriques

Un estafador amb un document falsificat encara necessita que la cara coincideixi. Els atacs prenen dues formes.

Atacs de presentació: una foto impresa, un vídeo en un segon telèfon o una màscara 3D sostinguda davant la càmera. Els models de prova de vida moderns estan certificats amb iBeta PAD Nivell 1 per vèncer-ho.

Els atacs d'injecció digital ometen la càmera completament. L'estafador injecta un flux de vídeo sintètic utilitzant un programari de càmera virtual o substitucions de l'API del navegador. Una cara deepfake —animada per parpellejar i seguir les ordres— es mostra al model de prova de vida com si provingués d'una càmera real. No es requereix un entorn físic i s'escala programàticament. Les contramesures inclouen la detecció de controladors de càmera virtual, classificadors de deepfake a nivell de fotograma i comprovacions d'intercepció d'API.

Què ho atura: Prova de Vida Passiva (0,10 $) amb inferència inferior a 2 segons i més de 200 senyals de frau, combinada amb Coincidència Facial 1:1 (0,05 $) que verifica la cara en viu amb el retrat del document.

Etapa 4: Ofuscació de dispositius i xarxes

Un anell de frau que gestiona dotzenes de comptes no pot fer-ho des d'una única IP i una sola màquina. El patró operatiu: rotar IPs a través de VPNs, proxies o Tor; utilitzar navegadors anti-detecció que aleatoritzin els senyals d'empremta digital; executar sessions des de màquines virtuals o emuladors. L'objectiu és que cada sessió sembli una persona diferent en un lloc diferent. El que ho delata és que el maquinari i la infraestructura de xarxa subjacents es reutilitzen.

Què ho atura: Anàlisi de Dispositius i IP (0,03 $), que s'executa automàticament en cada sessió. Captura una empremta digital estable del dispositiu a partir de senyals de la GPU, la compilació del navegador, la renderització del llenç i els atributs del maquinari, i després la compara amb totes les sessions anteriors. També enriqueix la connexió: detecció de VPN i proxy, detecció de nodes de sortida de Tor i centres de dades, consistència entre país i document.

Els dos avisos més importants per a la detecció d'anells:

  • DUPLICATED_DEVICE_FINGERPRINT — la mateixa empremta digital persistent va aparèixer sota una identitat diferent en una sessió anterior.
  • DEVICE_RECOVERED_HIGH_CONFIDENCE — la ID persistent va canviar (emmagatzematge esborrat, incògnit, reinstal·lació), però el model de recuperació v2 va coincidir amb el dispositiu de totes maneres.

Ambdós són configurables: revisar, denegar rotundament o aprovar amb una senyalització.

Etapa 5: Reclutament i activació de mules de diners

No tots els comptes fraudulents pertanyen a un lladre d'identitats. Una gran part són obertes per persones reals que utilitzen documents genuïns —mules de diners reclutades a les quals se'ls va dir que guanyarien una comissió per rebre i reenviar fons. Els documents KYC són reals. El frau rau en el que han acordat fer.

Les mules de diners sovint estan afiliades a xarxes de crim organitzat que apareixen en llistes de sancions, PEP (persona políticament exposada), mitjans adversos o llistes de vigilància policial. L'aplicació de l'AML Screening (0,20 $, més de 1.300 llistes) en el procés d'alta detecta els associats de xarxes de mules coneguts abans que esdevinguin comptes actius. L'AML Monitoring continu (0,07 $/usuari/any) torna a comprovar a mesura que s'actualitzen les llistes.

Què ho atura: AML Screening en el procés d'alta més un seguiment continu —actors coneguts i membres de xarxes emergents afegits després de l'alta.

Com ajuda Didit

Cadascuna de les cinc etapes anteriors es correspon directament amb un mòdul del flux principal de KYC.

El paquet bàsic —Verificació d'Identitat + Prova de Vida Passiva + Coincidència Facial 1:1 + Anàlisi de Dispositius i IP— s'executa com una única sessió a 0,33 $, cobrint les etapes 2-4. L'addició d'AML Screening (0,20 $) amplia la cobertura al reclutament de mules (etapa 5). Tots els mòduls s'executen en seqüència; el resultat arriba en una única càrrega útil de decisió.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "user-123",
    "callback": "https://yourapp.com/post-kyc"
  }'

La URL de la sessió va a l'usuari. La decisió es retorna mitjançant webhook (session.status.updated) o GET /v3/session/{sessionId}/decision/.

Didit és l'únic proveïdor d'identitat formalment certificat per un govern d'un estat membre de la UE (Tesoro / Banco de España / SEPBLAC d'Espanya) com a més segur que la verificació presencial. 500 verificacions gratuïtes al mes, sense mínims.

Casos d'ús

Obertura de comptes neobancaris — el flux principal de 0,33 $ gestiona la superfície d'atac principal. Afegiu AML Screening per a requisits reguladors i detecció de mules.

Crèdit i préstecs — el frau d'identitat sintètica és més alt aquí perquè la càrrega útil és una línia de crèdit. La lectura del xip NFC afegeix la certesa criptogràfica que el document és genuí.

Alta en intercanvis de criptomonedes — Wallet Screening (0,15 $/comprovació, o 0,02 $ BYOK) amplia la cobertura a la superfície de frau criptogràfic després del KYC.

Preguntes freqüents

Quin és el mètode més comú que utilitzen els estafadors per obrir comptes bancaris?

Documents d'identitat robats combinats amb ofuscació de dispositius. L'estafador utilitza informació personal identificable real i una imatge de document falsificada, i després dirigeix les sessions a través de VPNs o navegadors anti-detecció. La verificació de documents detecta la imatge falsificada; l'Anàlisi de Dispositius i IP detecta la infraestructura.

Què significa DUPLICATED_DEVICE_FINGERPRINT a la pràctica?

La mateixa empremta digital persistent del dispositiu va aparèixer sota una identitat diferent en una sessió anterior —un senyal fort de multi-comptes o granja de mules. Configureu la resposta segons la vostra política: revisar, denegar rotundament o marcar per a investigació manual.

Quant costa un flux d'alta complet resistent al frau?

El flux principal de KYC és de 0,33 $. L'addició d'AML Screening el porta a 0,53 $. 500 verificacions gratuïtes al mes; sense mínims.

Llest per començar?

El frau en l'obertura de comptes és prevenible a la capa d'infraestructura —abans que existeixi un compte, abans que els fons es moguin, abans que l'analista de frau hi estigui involucrat.

Infraestructura per a identitat i frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-la en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina