En los últimos meses estamos presenciando cómo grandes organizaciones españolas, entre ellas algunas empresas del IBEX 35 o la propia DGT, son el blanco de una preocupante oleada de ciberataques y robos de datos. Esta creciente amenaza pone en jaque la seguridad de la información tanto de las organizaciones como de sus clientes, lo que puede desencadenar en serias pérdidas económicas, un deterioro reputacional y la erosión de la confianza de sus clientes o socios comerciales.
Estos ciberataques han provocado el robo masivo de datos personales, que ya afectan a millones de personas, y que principalmente se acometen con el fin de comercializar los datos para suplantar la identidad de las víctimas y utilizarla de forma fraudulenta. Por ejemplo, para la petición de créditos en nombre de las víctimas o para el envío de mensajes personalizados para engañar y conseguir más información o dinero, una técnica conocida como phishing.
Por si esto fuera poco, el rápido avance de la tecnología permite a los hackers disponer de herramientas cada vez más sofisticadas para utilizar estos datos, sobre todo en el campo de la Inteligencia Artificial generativa. Hoy en día, a partir de fotografías u otros datos personales, son capaces de crear una réplica idéntica a un DNI o cualquier otro documento de identidad, indetectable a simple vista a la hora de validar su autenticidad. Posteriormente, se trafican estos documentos en la dark web en un negocio que es invisible, pero inmenso. Asimismo, la capacidad de la IA para generar rostros, voces y firmas idénticas a las de sus dueños reales, entre otras suplantaciones, agrava los riesgos e incrementa las oportunidades para realizar un uso indebido de la información de las víctimas.
La irrupción de estas nuevas tecnologías ha disparado los registros de fraudes informáticos en España. Solo en 2023, 426.744 casos fueron detectados según las estadísticas del Ministerio del Interior, un 27% más que en 2022. Esta cifra se traduce en una media de 1.169 fraudes informáticos al día, el triple que en 2018, cuando se registraron una media de 374 diarios. O lo que es lo mismo, más de 1.000 ciudadanos españoles que a diario podrían verse inmersos en futuras potenciales reclamaciones de deudas de operaciones de las que no tenían conocimiento, con los daños y la inseguridad que eso implica.
Pero los ámbitos en los que se cometen son cada vez más diversos. Desde suplantaciones de identidad para registrarse en casas de apuestas, suponiendo para muchas personas que su declaración de la renta salga a pagar por obtener beneficios por apuestas que nunca han realizado; hasta la organización de una videollamada con tecnología deepfake para hacerse pasar por un director financiero y pedir con éxito una transferencia valorada en casi 24 millones de euros a un empleado, tal y como ocurrió en una empresa financiera de Hong Kong.
En este escenario tan desafiante, es crucial que las organizaciones inviertan recursos en la única línea de defensa efectiva para combatir la suplantación de la identidad y asegurar la fiabilidad en las transacciones: la verificación. Implementar una verificación de identidad que funcione, y no quedarse en la simple validación de documentos o conformarse con la mera apariencia de la otra parte, significa inhabilitar el uso fraudulento de los datos robados.
Para conseguir este objetivo, el primer paso es reconocer que las medidas de seguridad tradicionales han quedado obsoletas frente a la evolución constante de la ciberdelincuencia, o incluso algunas de las más nuevas ya no sirven. Pedir una foto del DNI o incluso una grabación de vídeo y voz de una persona ya no es suficiente para validar la identidad. Se necesitan métodos mucho más sofisticados, que se encuentran en el mismo ámbito. Tecnología para hacer frente a la tecnología.
La capacidad de autenticar de manera precisa y segura la identidad de los usuarios se convierte en una prioridad estratégica para las organizaciones. Para avanzar hacia esta meta, son cada vez más los métodos innovadores de verificación que permiten elevar el grado de confianza y ayudar a procesos más comunes como la biometría o la consulta a fuentes oficiales. Las claves pasan por fortalecer la seguridad tecnológica mediante la implementación de controles avanzados y la encriptación de los datos, y por aplicar procesos rigurosos mediante flujos de verificación exhaustivos y constantemente actualizados.
La responsabilidad de proteger a las personas está en manos de las empresas e instituciones. La implementación de una eficiente verificación de la identidad es la primera barrera de defensa frente a la suplantación. En el momento en el que esta no es posible, no sirve de nada robar datos, porque su valor quedaría reducido a la nada. En definitiva, verificar la identidad es la principal arma con la que desincentivar los ciberataques, combatir el tráfico de datos y destruir este creciente negocio silencioso, pero muy dañino para el conjunto de la sociedad y que necesita una solución urgente.
