Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Volver al blog
Blog · 21 de mayo de 2026

El Manual del Fraude Bancario: Cómo los Delincuentes Abren Cuentas y Cómo Detenerlos (ES)

Identidades robadas, sintéticas, ataques de "deepfake liveness", reclutamiento de mulas de dinero, ofuscación de dispositivos: aquí está el manual exacto que usan los estafadores para abrir cuentas bancarias, y los controles que.

Por DiditActualizado el
how-fraudsters-open-bank-accounts.png

Cada cuenta bancaria fraudulenta comienza en el proceso de incorporación. Para cuando los analistas de fraude ven el daño (las transferencias no autorizadas, los fondos lavados, la línea de crédito utilizada contra una identidad fabricada), la cuenta ya ha pasado el KYC. La explotación ocurrió antes de que el cliente existiera.

Esta publicación desglosa el manual que usan los estafadores, paso a paso, y asigna cada técnica al control que la detiene.

Conclusiones clave

  • El fraude en la apertura de cuentas se desarrolla en cinco etapas superpuestas: adquisición de identidad, producción de documentos, omisión de la prueba de vida, ofuscación de dispositivos y redes, y activación de mulas post-apertura.
  • Cada etapa tiene una contramedida técnica específica. Los estafadores buscan que se parche una sin las otras.
  • El flujo central de KYC de referencia (Verificación de ID + Prueba de Vida Pasiva + Coincidencia Facial 1:1 + Análisis de Dispositivos e IP) cierra los vectores más comunes a $0.33 por verificación.
  • El Control AML detecta identidades de mulas de dinero que pasaron las verificaciones de documentos porque la identificación era genuina; la persona fue reclutada, no fabricada.
  • El Análisis de Dispositivos e IP detecta redes de fraude a través de DUPLICATED_DEVICE_FINGERPRINT y DEVICE_RECOVERED_HIGH_CONFIDENCE, las señales que aparecen cuando un operador ejecuta muchas sesiones de incorporación desde un grupo compartido de máquinas.

Etapa 1: Adquisición de identidad

Antes de que cualquier estafador toque su flujo de incorporación, necesita un nombre, una fecha de nacimiento y un número de documento que pase una verificación de base de datos. Hay tres formas de conseguirlo.

Las identidades robadas son el punto de partida más común. Las filtraciones de datos, el phishing y los mercados de la dark web dan a los estafadores acceso a nombres reales, direcciones, números de identificación y, a veces, escaneos del documento original, la mayor parte de lo que solicita un flujo de KYC.

Las identidades sintéticas combinan elementos reales e inventados: un número de Seguro Social genuino (o número de identificación nacional) emparejado con un nombre y fecha de nacimiento fabricados. Debido a que el número de identificación es válido, los controles de formato y suma de verificación pasan. El fraude sintético es especialmente costoso en contextos de crédito porque construye un historial antes de cobrar.

La identidad como servicio es la versión organizada: redes criminales que venden kits completos (imágenes de documentos antiguos, facturas de servicios públicos e instrucciones para el flujo de incorporación específico que ya han probado).

Lo que lo detiene: Verificación de documentos más allá de los controles de formato (OCR en más de 14,000 plantillas de documentos, análisis de MRZ y códigos de barras, lectura de chips NFC) combinado con la validación de bases de datos contra registros gubernamentales. Las identificaciones reales robadas y las identificaciones sintéticas fabricadas dejan diferentes firmas en esta capa.

Etapa 2: Falsificación y manipulación de documentos

Un número de identificación robado es inútil sin una imagen que coincida. Los estafadores producen documentos de tres maneras.

La edición de plantillas es el nivel de entrada: comprar un escaneo de alta resolución de un documento legítimo y sustituir la foto y los datos en una herramienta de fraude. Las falsificaciones baratas son obvias; las bien producidas requieren modelos de ML entrenados para detectarlas.

Los documentos impresos y refotografiados eluden algunas defensas de detección de inyecciones. El estafador imprime el documento falsificado, lo fotografía con buena iluminación y envía el resultado, tratando de introducir los artefactos físicos (grano, sombra, reflejo) que los clasificadores de documentos esperan de una captura genuina.

Los documentos generados por IA son un vector emergente: modelos generativos que producen imágenes de documentos sintéticos lo suficientemente realistas como para engañar a los revisores humanos.

Lo que lo detiene: Análisis de vitalidad del documento (detección de superficie plana/impresa), verificaciones de consistencia de múltiples cuadros y clasificadores de ML entrenados en patrones de fraude. La lectura de chips NFC es la contramedida más difícil: si el chip se valida criptográficamente, el documento es genuino.

Etapa 3: Omisión de la prueba de vida — derrotar las verificaciones biométricas

Un estafador con un documento falsificado aún necesita que el rostro coincida. Los ataques toman dos formas.

Ataques de presentación: una foto impresa, un video en un segundo teléfono o una máscara 3D sostenida frente a la cámara. Los modelos de prueba de vida modernos están certificados en iBeta PAD Nivel 1 para derrotar esto.

Los ataques de inyección digital omiten la cámara por completo. El estafador inyecta una secuencia de video sintética utilizando software de cámara virtual o anulaciones de API del navegador. Un rostro deepfake, animado para parpadear y seguir comandos, se envía al modelo de prueba de vida como si viniera de una cámara real. No se requiere un entorno físico y se escala programáticamente. Las contramedidas incluyen la detección de controladores de cámara virtual, clasificadores de deepfake a nivel de fotograma y verificaciones de intercepción de API.

Lo que lo detiene: Prueba de Vida Pasiva ($0.10) con inferencia de menos de 2 segundos y más de 200 señales de fraude, junto con Coincidencia Facial 1:1 ($0.05) que verifica el rostro en vivo contra el retrato del documento.

Etapa 4: Ofuscación de dispositivos y redes

Una red de fraude que maneja docenas de cuentas no puede hacerlo desde una sola IP y una sola máquina. El patrón operativo: rotar IPs a través de VPNs, proxies o Tor; usar navegadores anti-detección que aleatorizan las señales de huellas digitales; ejecutar sesiones desde máquinas virtuales o emuladores. El objetivo es parecer, en cada sesión, una persona diferente en un lugar diferente. La clave es que el hardware y la infraestructura de red subyacentes se reutilizan.

Lo que lo detiene: Análisis de Dispositivos e IP ($0.03), ejecutándose automáticamente en cada sesión. Captura una huella digital de dispositivo estable a partir de señales de GPU, compilación del navegador, renderizado de lienzo y atributos de hardware, luego la compara con todas las sesiones anteriores. También enriquece la conexión: detección de VPN y proxy, detección de nodos de salida de Tor y centros de datos, consistencia país-documento.

Las dos advertencias más importantes para la detección de redes:

  • DUPLICATED_DEVICE_FINGERPRINT — la misma huella digital persistente apareció bajo una identidad diferente en una sesión anterior.
  • DEVICE_RECOVERED_HIGH_CONFIDENCE — la ID persistente cambió (almacenamiento borrado, incógnito, reinstalación), pero el modelo de recuperación v2 igual encontró el dispositivo.

Ambas son configurables: revisión, rechazo definitivo o aprobación con una bandera.

Etapa 5: Reclutamiento y activación de mulas de dinero

No todas las cuentas fraudulentas pertenecen a un ladrón de identidades. Una gran parte son abiertas por personas reales utilizando documentos genuinos: mulas de dinero reclutadas a las que se les dijo que ganarían una comisión por recibir y reenviar fondos. Los documentos KYC son reales. El fraude está en lo que han acordado hacer.

Las mulas de dinero a menudo están afiliadas a redes de crimen organizado que aparecen en listas de sanciones, PEP (Persona Políticamente Expuesta), medios adversos o listas de vigilancia de las fuerzas del orden. La detección AML ($0.20, más de 1,300 listas) en la incorporación detecta a los asociados de redes de mulas conocidos antes de que se conviertan en cuentas activas. La monitorización AML continua ($0.07/usuario/año) vuelve a detectar a medida que se actualizan las listas.

Lo que lo detiene: Detección AML en la incorporación más la monitorización continua: actores conocidos y miembros de redes emergentes añadidos después de la incorporación.

Cómo ayuda Didit

Cada una de las cinco etapas anteriores se asigna directamente a un módulo del flujo central de KYC.

El paquete base (Verificación de ID + Prueba de Vida Pasiva + Coincidencia Facial 1:1 + Análisis de Dispositivos e IP) se ejecuta como una sola sesión a $0.33, cubriendo las etapas 2 a 4. La adición de Detección AML ($0.20) amplía la cobertura al reclutamiento de mulas (etapa 5). Todos los módulos se ejecutan en secuencia; el resultado llega en una única carga útil de decisión.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "user-123",
    "callback": "https://yourapp.com/post-kyc"
  }'

La URL de la sesión va al usuario. La decisión se devuelve a través de un webhook (session.status.updated) o GET /v3/session/{sessionId}/decision/.

Didit es el único proveedor de identidad formalmente certificado por un gobierno de un estado miembro de la UE (Tesoro / Banco de España / SEPBLAC) como más seguro que la verificación en persona. 500 verificaciones gratuitas al mes, sin mínimos.

Casos de uso

Apertura de cuentas neobancarias — el flujo central de $0.33 maneja la principal superficie de ataque. Añada Detección AML para requisitos regulatorios y detección de mulas.

Crédito y préstamos — el fraude de identidad sintética es mayor aquí porque la carga útil es una línea de crédito. La lectura de chips NFC añade certeza criptográfica de que el documento es genuino.

Incorporación de intercambios de criptomonedas — la Detección de Carteras ($0.15/verificación, o $0.02 BYOK) amplía la cobertura a la superficie de fraude criptográfico después del KYC.

Preguntas frecuentes

¿Cuál es el método más común que utilizan los estafadores para abrir cuentas bancarias?

Documentos de identidad robados combinados con la ofuscación de dispositivos. El estafador utiliza información de identificación personal real y una imagen de documento falsificada, luego enruta las sesiones a través de VPNs o navegadores anti-detección. La verificación de documentos detecta la imagen falsificada; el Análisis de Dispositivos e IP detecta la infraestructura.

¿Qué significa DUPLICATED_DEVICE_FINGERPRINT en la práctica?

La misma huella digital de dispositivo persistente apareció bajo una identidad diferente en una sesión anterior, una fuerte señal de multicuenta o granja de mulas. Usted configura la respuesta según su política: revisión, rechazo definitivo o marcar para investigación manual.

¿Cuánto cuesta un flujo de incorporación completo resistente al fraude?

El flujo central de KYC cuesta $0.33. Agregar Detección AML lo eleva a $0.53. 500 verificaciones gratuitas al mes; sin mínimos.

¿Listo para empezar?

El fraude en la apertura de cuentas es prevenible en la capa de infraestructura, antes de que exista una cuenta, antes de que se muevan los fondos, antes de que el analista de fraude esté involucrado.

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página
Cómo los Estafadores Abren Cuentas Bancarias | Didit.