Juliana Braz: "No puedes verificar lo que no puedes identificar de forma única"

Juliana Braz lidera el Desarrollo de Negocio Internacional y ejerce como portavoz de Serpro, la columna vertebral tecnológica del Gobierno federal brasileño. Desde ese papel, conecta derecho, administración pública e ingeniería para abordar uno de los mayores retos del Estado: demostrar de forma fiable quién es quién a escala nacional. Se formó profesionalmente contribuyendo a transformar el carné de conducir en papel en la premiada CNH Digital (permiso de conducir digital) y, desde entonces, se ha consolidado como una voz clara y pragmática en identidad digital, prevención del fraude y derechos de la ciudadanía. Para Juliana, la identidad es un bien público y la «seguridad por diseño» no se negocia: biometría y tokenización allí donde aportan confianza real; cumplimiento estricto de la LGPD y controles de acceso basados en roles para proteger la privacidad; y vías inclusivas para que la tecnología nunca deje a nadie fuera.

Defiende el modelo de niveles de seguridad de Gov.br (Bronce, Plata, Oro) como hoja de ruta para escalar la confianza, al tiempo que impulsa la interoperabilidad entre silos de datos para frenar identidades sintéticas y redes de ingeniería social. Con una visión realista sobre el riesgo de los deepfakes y del SIM swap, insiste en que la cultura y la formación deben ir al mismo ritmo que las herramientas. De cara al futuro, imagina un ecosistema anclado en el CPF que evoluciona hacia la SSI (Self-Sovereign Identity), con Serpro como capa soberana de confianza de Brasil y como centro de inteligencia antifraude en tiempo real.

P: Juliana, tu carrera combina derecho, administración pública y tecnología. ¿Qué te motivó a especializarte en temas de identidad y fraude en tu papel en Serpro?

Mi motivación para especializarme en identidad y fraude en Serpro surge directamente de mi experiencia práctica desarrollando sistemas nacionales críticos. Empecé mi carrera en Serpro trabajando con la base de datos de la CNH, ya entonces una de las principales fuentes de identificación de Brasil.

Fue a través de mi participación activa en el proyecto de creación de la CNH Digital —una iniciativa que transformó un documento físico en una credencial de alta seguridad, reconocida a nivel nacional con premios importantes como el iBest— cuando me quedé profundamente fascinada por este campo. Me di cuenta de que la identidad es el activo más fundamental de la Administración Pública y de que la tecnología es la mejor solución para los complejos problemas de confianza y fraude masivo.

Por eso, mi especialización en Serpro es la evolución lógica de ese trabajo. Utilizo mi formación en Administración Pública y mi conocimiento técnico para entender dónde están las vulnerabilidades de los procesos (donde se produce el fraude) y, a partir de ahí, aplicar tecnologías avanzadas —como biometría y tokenización— para diseñar soluciones de seguridad robustas, protegiendo al ciudadano y garantizando la integridad de la digitalización del Estado.

P: Como directiva en una institución clave para la digitalización del gobierno, ¿qué has aprendido sobre el valor de la identidad digital para los ciudadanos y para el Estado?

Mi experiencia gestionando iniciativas de digitalización del gobierno me ha enseñado que el valor de la Identidad Digital es absolutamente estructural: actúa como motor central de un Estado moderno, eficiente e inclusivo. No es solo una mejora tecnológica; redefine la relación entre ciudadano y gobierno, transformando ineficiencias históricas en servicios ágiles y fiables.

Para el ciudadano, el gran valor es la inclusión universal y el acceso simplificado. La Identidad Digital elimina la necesidad de presencia física, colas y papeleo, permitiendo que millones de personas accedan a servicios esenciales desde cualquier lugar y en cualquier momento, asegurando que los derechos lleguen a quien realmente los necesita. Además, una identidad digital sólida, a menudo apoyada en biometría, es mucho más segura frente al fraude que los documentos físicos. Esto no solo protege a la persona frente al robo de identidad, sino que también le da mayor control sobre sus propios datos.

Para el Estado, la Identidad Digital es el pilar de la buena gobernanza y de la integridad fiscal. Genera eficiencia y ahorro de costes al estandarizar y automatizar los procesos de autenticación en todos los organismos. Y, sobre todo, es la herramienta antifraude más poderosa: al garantizar que cada ciudadano es un individuo único y verificable, el Estado se asegura de que los recursos públicos —como prestaciones sociales o ayudas de emergencia— lleguen únicamente al destinatario correcto, evitando desvíos y pagos duplicados.

Finalmente, la identidad digital permite consolidar y cruzar datos de forma segura entre los distintos silos gubernamentales, ofreciendo una visión única y precisa de la persona para diseñar políticas públicas más efectivas y mejor dirigidas.

P: El fraude de identidad en Brasil es un reto constante. Desde tu perspectiva, ¿cuáles son hoy las principales vulnerabilidades que aprovechan los criminales?

El fraude de identidad en Brasil es un reto persistente que los criminales explotan estratégicamente atacando la intersección entre sistemas heredados, la proliferación de datos robados y la fragilidad humana. Desde el punto de vista de la digitalización y la seguridad, las vulnerabilidades comienzan con la filtración de datos personales. El principal combustible del fraude es la enorme cantidad de datos personales robados y filtrados —incluyendo CPF, nombre de la madre y fecha de nacimiento— disponible en la dark web, que sirve de base para aperturas fraudulentas de cuentas y campañas masivas de ingeniería social.

Además, los criminales explotan la fragmentación de los registros creando identidades sintéticas, combinando un CPF robado legítimo con datos ficticios para superar los controles iniciales de alta en sectores que carecen de una visión unificada del ciudadano.

En segundo lugar, los criminales son expertos en atacar los procesos y el eslabón más débil de cualquier sistema: la persona. La ingeniería social y el phishing siguen siendo tácticas muy efectivas; los estafadores usan datos filtrados para construir narrativas creíbles y manipular a la víctima hasta que sea ella misma quien entregue los códigos de seguridad. El ataque de SIM swap explota también una vulnerabilidad procedimental en las operadoras de telefonía: al portar el número de la víctima a una nueva tarjeta, el criminal pasa a recibir los códigos de autenticación multifactor (MFA) enviados por SMS, eludiendo así la seguridad de la aplicación.

Por último, los sistemas heredados perpetúan vulnerabilidades: la multiplicidad histórica de documentos de identidad y la dependencia de procesos manuales facilitan la falsificación y el uso de documentos robados. A esto se suman las amenazas tecnológicas emergentes, que ponen a prueba las nuevas defensas. A medida que la biometría facial se vuelve estándar, los criminales invierten en vídeos deepfake y máscaras digitales de alta calidad para engañar los mecanismos de prueba de vida durante la apertura de cuentas. Y los ataques a la cadena de suministro se han sofisticado, apuntando a proveedores terceros más pequeños y menos protegidos para robar datos sensibles o inyectar código malicioso en sistemas de uso extendido.

P: Brasil ha invertido en biometría y soluciones digitales para autenticar a millones de personas. ¿Qué crees que ha funcionado bien y qué limitaciones persisten?

El compromiso de Brasil con el uso de biometría y soluciones digitales para la autenticación masiva ha sido pionero. Hemos logrado avances significativos, especialmente en la consolidación de datos clave, pero aún nos enfrentamos a desafíos importantes si queremos alcanzar una seguridad digital realmente universal.

La plataforma Gov.br, que utiliza autenticación contrastando con bases de datos oficiales del gobierno (como la CNH/Denatran o la Receita Federal), ha sido un gran logro. Trabaja con niveles graduados de autenticación (Bronce, Plata, Oro), incentivando al ciudadano a aumentar su nivel de seguridad mediante biometría y ofreciendo al Estado una capa sólida de identidad digital verificada para acceder a miles de servicios.

Sin embargo, seguimos teniendo dificultades para lograr una interoperabilidad fluida entre las grandes bases de datos gubernamentales. Disponemos de varios «silos» biométricos de alta calidad que todavía no se comunican entre sí de forma plena y sencilla. Esta fragmentación obliga a los organismos a repetir verificaciones y complica la creación de un historial de identidad realmente unificado.

P: Cuando hablamos de tecnología antifraude, muchas personas piensan solo en herramientas. Desde tu experiencia, ¿qué importancia tienen la cultura organizativa y la formación de equipos en la prevención del fraude?

Es una observación muy acertada. Aunque el foco público suele ponerse en las herramientas más avanzadas —biometría, IA, cifrado—, mi experiencia demuestra que la cultura organizativa y la formación de los equipos son igual de importantes que la propia tecnología, si no más.

El éxito en antifraude se sostiene en un triángulo: Tecnología, Proceso y Personas. Si los lados de personas y cultura son débiles, incluso la tecnología más avanzada fracasará.

Una cultura antifraude sólida debe partir de la alta dirección y extenderse a todos los niveles de la institución. Transforma la prevención del fraude de una simple lista de requisitos de cumplimiento en un valor central del negocio. La tecnología genera las alertas, pero son las personas bien formadas las que aportan contexto, análisis y respuesta rápida.

P: En Serpro trabajáis con datos a gran escala. ¿Cómo equilibras la necesidad de seguridad y precisión en la identificación con el respeto a la privacidad y los derechos de los ciudadanos?

Trabajar con datos gubernamentales a gran escala en una institución como Serpro exige un enfoque riguroso para equilibrar tres necesidades igualmente críticas: seguridad (prevención del fraude), precisión (identificación correcta) y privacidad (derechos del ciudadano).

Este equilibrio no se consigue con una única herramienta, sino mediante un marco profundamente integrado de gobernanza, tecnología y cumplimiento legal.

El punto de partida es el cumplimiento estricto de la ley, en particular de la Lei Geral de Proteção de Dados (LGPD) de Brasil, que proporciona la base jurídica irrenunciable. Aplicamos el principio de «necesidad de conocer»: la recogida y uso de datos se limita estrictamente a lo imprescindible para prestar el servicio. Por ejemplo, si solo necesitamos verificar la mayoría de edad de una persona, accedemos únicamente a la fecha de nacimiento, no a su dirección ni a los nombres de sus progenitores. Esto se incorpora al diseño de la arquitectura desde el inicio. Además, toda consulta o transferencia de datos debe tener una finalidad lícita, clara y específica. Aseguramos que los datos recabados para fines tributarios, por ejemplo, no se utilicen de forma indiscriminada en un servicio de salud salvo que lo permita la ley o exista consentimiento expreso. Y garantizamos que el ciudadano esté informado sobre qué datos se usan y para qué, respetando plenamente sus derechos bajo la LGPD, incluyendo el acceso, la rectificación o la anonimización de sus datos cuando sea legalmente aplicable.

La tecnología se utiliza para proteger los datos y garantizar su uso correcto, no para maximizar el acceso. El acceso a información sensible de identificación está compartimentado, monitorizado y altamente restringido. Utilizamos un control de acceso basado en roles (RBAC) muy estricto para que solo personal autorizado pueda manejar esos datos, y toda acción queda registrada y es auditable. Para tareas como análisis de patrones de fraude, pruebas de calidad o modelos de aprendizaje automático, priorizamos el uso de datos anonimizados (sin identificadores personales) o seudonimizados (con identificadores sustituidos por tokens), de modo que podamos obtener inteligencia sobre tendencias sin exponer identidades individuales. Además, los datos se cifran tanto en tránsito (cuando se mueven entre sistemas) como en reposo (cuando se almacenan en bases de datos), y aplicamos tokenización en identidad digital, sustituyendo datos sensibles —como el CPF completo— por tokens sin significado para las transacciones, reduciendo al mínimo la exposición de información.

P: En los últimos años han surgido fraudes más sofisticados, como los deepfakes o las identidades sintéticas. ¿Cómo ves la capacidad de Brasil para anticiparse a estas amenazas emergentes?

Las amenazas sofisticadas como los deepfakes y el fraude de identidad sintética representan la vanguardia del ciberdelito y exigen pasar de la defensa reactiva a la anticipación proactiva.

La capacidad de Brasil para lidiar con estas amenazas es, en cierto modo, dual: contamos con fortalezas importantes en datos a gran escala y en regulación, pero seguimos teniendo carencias en inteligencia unificada y en preparación tecnológica.

El mayor activo de Brasil es la amplitud y calidad de sus datos. Instituciones estatales como Serpro gestionan datos biométricos y registrales a escala nacional. Este volumen masivo de datos verificados es la mejor defensa frente a las identidades sintéticas, porque dificulta fabricar una persona ficticia que supere una verificación cruzada rigurosa. La existencia de la LGPD obliga a las organizaciones a adoptar principios de «seguridad por diseño» y refuerza la rendición de cuentas. Esta presión regulatoria impulsa la inversión continua en seguridad avanzada, que incluye herramientas necesarias para detectar manipulaciones sofisticadas.

El sector bancario y fintech brasileño, muy competitivo y digitalizado, funciona además como banco de pruebas constante. Estas instituciones implementan con rapidez técnicas de fraude avanzadas, como biometría de comportamiento en tiempo real o pruebas de vida reforzadas en reconocimiento facial, elevando de forma continua el estándar del mercado frente a deepfakes y ataques de presentación.

Pese a estas fortalezas, las brechas estructurales y tecnológicas ralentizan nuestra capacidad de anticipación. Aunque existen los datos, la inteligencia sigue a menudo fragmentada en silos. Los estafadores comparten sus métodos de forma global e instantánea. Para anticipar ataques, el sector público (policía, hacienda, justicia electoral) y el privado (bancos, telecomunicaciones) necesitan crear un centro de inteligencia de amenazas en tiempo real, jurídicamente sólido. Sin esto, la detección de una identidad sintética usada en un banco puede producirse mucho después de que se use en un organismo público.

La tecnología para generar deepfakes se abarata y se democratiza mucho más rápido que la tecnología para detectarlos. Brasil necesita una inversión coordinada mayor en técnicas de anti-spoofing basadas en IA que vayan más allá de las pruebas de vida simples y analicen señales fisiológicas sutiles o artefactos en la imagen. Esto requiere I+D sostenido y un nivel de especialización que hoy está concentrado en pocos laboratorios privados de seguridad.

Además, la regulación tiende a ser reactiva, cerrando la puerta cuando el fraude ya ha ocurrido. Anticiparse exige que los reguladores emitan directrices no solo sobre vulnerabilidades actuales, sino sobre posibles vectores de ataque futuros, modelando de forma activa cómo tecnologías como la IA generativa o la computación cuántica pueden comprometer los protocolos de seguridad actuales.

En resumen, Brasil tiene la potencia de datos necesaria para combatir identidades sintéticas y la dinámica de mercado para reaccionar ante los deepfakes. Pero, para anticiparse realmente a estas amenazas, debemos priorizar el intercambio de inteligencia entre sectores y dedicar recursos a una I+D proactiva en defensa basada en IA, haciendo que la defensa sea tan ágil como el ataque.

P: Desde tu experiencia directa, ¿cuáles son los factores críticos de éxito en un proyecto público de verificación de identidad: tecnología, gobernanza del dato, colaboración entre organismos… o algo más?

Mi experiencia directa demuestra que el éxito de un proyecto público de verificación de identidad depende de una tríada de fundamentos no estrictamente técnicos, siendo la tecnología el habilitador y no el fin.

El factor más crítico es la Gobernanza del Dato y la Unicidad. Sin un estándar nacional único y sin garantizar que los datos centrales estén limpios, sean precisos y estén permanentemente actualizados, cualquier solución biométrica o digital avanzada que construyamos encima acabará fallando; sencillamente, no se puede verificar lo que no se puede identificar de forma única.

En segundo lugar, la Colaboración Interinstitucional es absolutamente esencial. El éxito no llega construyendo un silo mejor, sino transformando organismos aislados en una red unificada y fiable de verificación, capaz de compartir inteligencia y hacer cruces de información en tiempo real.

Por último, el proyecto debe estar guiado por la Usabilidad y la Inclusión. El sistema tiene que ser lo bastante seguro para combatir el fraude, pero también lo bastante sencillo como para alcanzar una adopción ciudadana cercana al 100 %. Esto significa ofrecer múltiples vías de verificación, accesibles y adaptadas, para evitar que las medidas de seguridad excluyan a las poblaciones más vulnerables.

P: Si pensamos en inclusión financiera y acceso a servicios, ¿cómo evitamos que los sistemas antifraude creen barreras para los ciudadanos vulnerables que quizás no tienen todos los documentos o la tecnología necesaria?

La paradoja es que la seguridad no puede convertirse en barrera. Para evitar que los sistemas antifraude excluyan a los ciudadanos vulnerables, debemos pasar de un enfoque de cumplimiento rígido a un enfoque de inclusión por diseño.

Utilizamos autenticación por niveles, como los de Gov.br. Un servicio sencillo solo requiere un nivel de seguridad bajo, mientras que los servicios de alto riesgo (por ejemplo, el pago de prestaciones) exigen verificación biométrica completa. Así nos aseguramos de que la mayoría tenga acceso fácil, reservando las evidencias más fuertes para los casos de mayor impacto.

Es fundamental mantener puntos de verificación asistida por personas (como centros de atención gubernamentales). Para quienes no tienen smartphone o una conexión estable, un profesional formado debe poder validar su identidad, cerrando la brecha digital.

El sistema también debe aceptar pruebas alternativas de identidad y cruces de datos históricos (por ejemplo, registros fiscales o sanitarios), en lugar de exigir siempre un único documento perfecto. En resumen, la seguridad debe estar diseñada para encontrar maneras de decir «sí, eres tú» a través de múltiples caminos accesibles, en lugar de ser un muro que solo puedan superar los más avanzados tecnológicamente.

P: Juliana, si pudieras aconsejar a una persona joven que empieza en compliance y prevención del fraude, ¿qué experiencia o aprendizaje le recomendarías priorizar?

Más allá del conocimiento técnico, recomiendo encarecidamente buscar experiencia operativa y «historias de guerra». La teoría no basta. Hay que entender el ciclo completo del fraude, ya sea acompañando al equipo de respuesta a incidentes o mapeando los procesos de negocio de principio a fin.

El delincuente siempre buscará la grieta más débil del proceso, así que aprender a pensar como un atacante —y entender cómo recopilar evidencias y coordinar una respuesta bajo presión— es la formación más valiosa que se puede obtener. Esta visión transversal es lo que convierte a un especialista en cumplimiento en un líder indispensable.

P: Por último, mirando al futuro, ¿cómo imaginas el ecosistema de identidad digital de Brasil dentro de 10 años y qué papel debería desempeñar Serpro en ese escenario?

Dentro de diez años, imagino el ecosistema de identidad digital de Brasil plenamente consolidado, con el CPF como identificador único y autoritativo, y el país avanzando hacia un modelo de Identidad Autosoberana (SSI). Esto significa que la identidad digital será una credencial privada y cifrada, gestionada por el propio ciudadano en su dispositivo móvil y que le permitirá compartir solo los datos estrictamente necesarios (por ejemplo, demostrar mayoría de edad sin revelar la fecha de nacimiento). Esta base eliminará la fragmentación actual de bases de datos y hará posible una verificación en tiempo real, de alta integridad, en todos los servicios públicos y privados.

De forma crucial, ese sistema se integrará de manera natural con los modelos económicos del futuro, proporcionando la confianza digital necesaria para la adopción masiva de nuevas tecnologías.

El papel de Serpro en este futuro debe evolucionar: de proveedor de aplicaciones específicas a «Habilitador de Confianza Soberana» y «Hub de Inteligencia» del Gobierno Federal. Esto implica mantener la infraestructura crítica y segura donde residen los datos fundacionales, y aprovechar la escala masiva de información para ofrecer Inteligencia Antifraude avanzada, en tiempo real, como servicio. Serpro debe convertirse en la capa primaria de confianza que verifica los datos biométricos y registrales de una persona frente a las fuentes autoritativas para todos los servicios públicos.

Al centrarse en la seguridad y en la integridad de los datos, Serpro permitirá que otros organismos gubernamentales y empresas innoven sin tener que preocuparse por la verificación de identidad en su núcleo.