¿Qué es la identidad sintética y cómo detectarla en el onboarding digital?

¿Qué es la identidad sintética y cómo detectarla en el onboarding digital?

Respuesta rápida: Una identidad sintética no es una identidad robada: es una identidad fabricada. Combina datos reales (una CURP válida, un RFC existente, datos de una persona real) con información inventada para construir un perfil que pasa los controles básicos de KYC y parece legítimo. Lo que hace especialmente peligroso este tipo de fraude es que no ocurre en el onboarding: el defraudador se da de alta, construye historial crediticio durante meses y luego desaparece cuando ha extraído el máximo valor posible. Para 2026, la inteligencia artificial ha hecho que crear identidades sintéticas sea más rápido, más barato y más difícil de detectar que nunca. México registró un crecimiento del fraude de identidad digital del 77% en 2024, frente a una media regional del 38%.

¿Por qué la identidad sintética es el fraude más difícil de detectar?

La mayoría de los controles de seguridad en onboarding están diseñados para detectar identidades robadas: alguien que usa los datos de otra persona existente. La identidad sintética evita ese problema de raíz: no hay una víctima directa que reporte el robo, no hay una alerta en buró de crédito porque el perfil no existía antes, y el comportamiento inicial del defraudador es el de un cliente modelo.

El ciclo típico del fraude de identidad sintética tiene tres fases:

Fase 1. Construcción del perfil. El defraudador crea una identidad combinando datos reales con datos falsos. Por ejemplo: una CURP válida obtenida de una filtración de datos, un nombre diferente al titular de esa CURP, un domicilio inventado y un RFC generado algorítmicamente que pasa la validación sintáctica. El perfil no corresponde a ninguna persona real completa, pero tampoco activa las alertas diseñadas para detectar datos de otra persona.

Fase 2. Construcción de historial. El defraudador solicita créditos de monto bajo, los paga puntualmente durante meses o incluso años, construye historial crediticio positivo y gana la confianza de la institución. En este período, es indistinguible de un cliente legítimo.

Fase 3. El bust-out. Cuando el perfil tiene suficiente historial y límites de crédito elevados, el defraudador agota todos los créditos disponibles simultáneamente y desaparece. No hay persona real que localizar, no hay domicilio válido donde buscar, no hay historial previo que predijera el comportamiento. La institución queda con la deuda incobrable y sin forma de recuperarla.

<cite index="55-1">El fraude no ocurre en el onboarding, sino meses después, cuando el perfil ya tiene historial crediticio y confianza institucional. En México, este vector crece a ritmo acelerado, impulsado por la alta penetración de pagos instantáneos.</cite>

¿Por qué la IA ha cambiado el juego en 2026?

Hasta hace pocos años, construir una identidad sintética convincente requería tiempo, conocimiento técnico y acceso a datos de calidad. Hoy, con herramientas de inteligencia artificial generativa accesibles, el proceso se ha democratizado en el peor sentido:

Documentos sintéticos generados por IA. Las mismas herramientas de IA que generan imágenes realistas pueden generar identificaciones oficiales con datos específicos, fotografías de personas que no existen y elementos de seguridad visuales convincentes. <cite index="54-1">El fraude con documentos sintéticos creció un 311% entre enero y marzo de 2025.</cite>

Deepfakes para pruebas de vida. Los rostros generados por IA pueden superar sistemas de liveness detection básicos, permitiendo que una identidad sintética pase incluso la verificación biométrica si el sistema no tiene mecanismos específicos de detección de deepfakes y ataques de inyección.

Escala de ataque. Lo que antes requería construir manualmente una identidad ahora puede automatizarse: un solo actor puede generar y operar cientos de identidades sintéticas simultáneamente con apoyo de IA.

<cite index="57-1">El fraude de identidad sintética en 2026 consiste en la creación de una persona o entidad falsa a partir de datos reales, robados y fabricados, y después utilizar esa identidad para superar el onboarding, obtener crédito o mover dinero. La IA ha hecho que el ataque sea más barato y rápido.</cite>

¿Cómo se ve una identidad sintética en el onboarding?

Esta es la pregunta práctica que le importa a un equipo de operaciones o cumplimiento. El problema es que, durante el onboarding, una identidad sintética bien construida puede verse exactamente igual que un cliente legítimo. Sin embargo, hay señales de alerta que los sistemas avanzados pueden detectar:

Inconsistencias entre datos. La CURP y el RFC no corresponden al mismo titular. La fecha de nacimiento codificada en la CURP no coincide con la declarada. El domicilio no tiene registros de servicios públicos ni historial verificable.

Ausencia de historial digital. El número de teléfono no tiene historial de uso previo. El correo electrónico fue creado recientemente. El dispositivo desde el que se da de alta no tiene historial de uso asociado a esa identidad.

Velocidad de solicitud. El perfil solicita crédito inmediatamente después del alta, sin un período de actividad normal previo. Múltiples solicitudes desde el mismo dispositivo o la misma red con datos diferentes.

Biometría inconsistente. El rostro capturado no tiene historial biométrico previo en bases de datos. Las características faciales tienen anomalías que sugieren generación artificial.

Patrón de datos compartidos. El número de teléfono, el dispositivo o la dirección IP aparecen asociados a otros perfiles dados de alta recientemente.

¿Qué controles detectan la identidad sintética?

Ningún control aislado es suficiente. La identidad sintética requiere una estrategia de detección en capas:

Capa 1: Validación real contra fuentes oficiales. La validación sintáctica o algorítmica de la CURP no detecta identidades sintéticas: solo verifica que el formato sea correcto. La validación real contra la BDNCURP de RENAPO confirma que la CURP existe, está activa y los datos del solicitante coinciden con el registro oficial. Una CURP real con nombre diferente falla en esta validación.

Capa 2: Verificación biométrica con detección de deepfakes. La biometría facial con prueba de vida certificada y mecanismos de detección de deepfakes y ataques de inyección dificulta que una identidad sintética pase el onboarding con un rostro generado por IA. El cotejo del rostro capturado contra los registros biométricos del INE con una coincidencia mínima del 98% confirma que la persona frente a la cámara es el titular de la identificación.

Capa 3: Análisis de señales del dispositivo. La huella digital del dispositivo (device fingerprinting) analiza características del dispositivo, la red, el navegador y el comportamiento de uso para detectar patrones asociados a fraude: dispositivos nuevos, redes que han generado múltiples intentos de alta, comportamiento automatizado.

Capa 4: Validación cruzada de datos. Verificar que los datos del solicitante son consistentes entre sí y con fuentes externas: que el RFC corresponde a la CURP, que el número de teléfono tiene historial de uso, que el domicilio tiene registros verificables. Las inconsistencias entre fuentes son señales de alerta.

Capa 5: Monitoreo post-onboarding. Como el fraude de identidad sintética ocurre meses después del alta, el monitoreo continuo del comportamiento del cliente es tan importante como los controles en el onboarding. Cambios abruptos en el patrón de uso, solicitudes simultáneas de múltiples créditos y comportamiento inconsistente con el perfil declarado son señales de que un perfil puede estar en fase de bust-out.

Resumen: controles por fase del fraude

Fase del fraude

Señal de alerta

Control que la detecta

Construcción del perfil

CURP válida con datos inconsistentes

Validación real contra RENAPO

Onboarding

Documentos sintéticos o deepfake

Biometría + detección de deepfakes

Onboarding

Dispositivo sin historial previo

Device fingerprinting

Onboarding

Inconsistencias entre CURP, RFC y nombre

Validación cruzada de fuentes

Post-onboarding

Solicitudes simultáneas de crédito

Monitoreo transaccional continuo

Post-onboarding

Comportamiento inconsistente con perfil

Análisis de comportamiento con IA

¿Por qué los controles KYC tradicionales no son suficientes?

Los controles KYC tradicionales (verificación documental, validación de formato, revisión manual) están diseñados para detectar que el solicitante es quien dice ser. La identidad sintética evita ese problema: el perfil no es el de otra persona, es un perfil nuevo que pasa todas las verificaciones de formato y parte de las verificaciones de existencia.

<cite index="60-1">Los modelos tradicionales de prevención basados en verificación documental, autenticación simple, monitoreo transaccional reactivo y controles KYC estáticos resultan insuficientes frente a esquemas de fraude que operan en tiempo real, con identidad sintética, deepfakes, clonación de voz y manipulación social personalizada.</cite>

Lo que sí funciona es la combinación de validación real contra fuentes oficiales, biometría con detección de deepfakes, análisis de señales del dispositivo, validación cruzada de datos y monitoreo post-onboarding. Ninguno de estos controles detecta el fraude solo: es la combinación en capas lo que hace difícil construir una identidad sintética que los supere todos.

Implicaciones para una financiera mexicana

Para una SOFOM, SOFIPO, fintech o arrendadora, el fraude de identidad sintética tiene tres consecuencias directas:

Pérdida crediticia. Los créditos otorgados a identidades sintéticas son prácticamente incobrables: no hay persona real que localizar ni patrimonio que embargar.

Costo regulatorio. Un proceso de KYC que no detecta identidades sintéticas puede no satisfacer el estándar de "certeza razonable" que exige la CNBV. En una auditoría, los créditos otorgados a perfiles con inconsistencias evidentes pueden ser objetados.

Daño reputacional. Las financieras que son conocidas por tener controles débiles se convierten en objetivos preferentes de redes de fraude organizadas.

Cómo DIGID ayuda a detectar identidades sintéticas

En DIGID el proceso de onboarding combina las capas de detección más efectivas contra identidades sintéticas: validación real contra RENAPO, INE y SAT en tiempo real, verificación biométrica con prueba de vida y detección de deepfakes y ataques de inyección, cotejo contra más de 1,300 listas de sanciones y PEPs, y construcción del expediente de identificación con evidencia auditable de cada validación. El resultado es un perfil de cliente con múltiples capas de verificación que hacen significativamente más difícil que una identidad sintética supere el proceso de alta. Si quieres ver cómo se integra en tu operación, escríbenos.

Preguntas frecuentes

¿Qué es una identidad sintética? Es una identidad fabricada que combina datos reales con información inventada para crear un perfil que no corresponde a ninguna persona real completa, pero que pasa los controles básicos de verificación.

¿En qué se diferencia la identidad sintética del robo de identidad? En el robo de identidad, el defraudador usa los datos de una persona real existente. En la identidad sintética, construye un perfil nuevo que no corresponde a ninguna persona real, lo que elimina la señal de alerta de una víctima que reporte el robo.

¿Por qué el fraude de identidad sintética es difícil de detectar en el onboarding? Porque el defraudador se comporta como un cliente legítimo durante meses antes de ejecutar el fraude. En el onboarding, el perfil puede pasar todos los controles básicos sin activar alertas.

¿La validación de la CURP es suficiente para detectar identidades sintéticas? No. La validación sintáctica solo verifica el formato. La validación real contra la BDNCURP de RENAPO confirma existencia y consistencia de datos, pero una identidad sintética puede usar una CURP real de una persona que no sabe que sus datos fueron usados.

¿Qué es el fraude bust-out? Es la fase final del fraude de identidad sintética: el defraudador agota todos los créditos disponibles simultáneamente después de haber construido historial durante meses y luego desaparece.

¿La inteligencia artificial puede generar identidades sintéticas convincentes? Sí. Las herramientas de IA generativa pueden crear documentos de identidad sintéticos, rostros de personas que no existen y videos deepfake para superar verificaciones biométricas básicas. Por eso los sistemas de detección también deben incorporar IA y mecanismos específicos contra deepfakes.

Última actualización: julio de 2026. Fuentes: Informe INTERPOL GFFTA 2026, Reporte Fraude Digital México 2026 (FacePhi Observatory), datos FICO Encuesta al Consumidor 2025, datos Sumsub Q1 2025, datos CONDUSEF 2025/2026 y Guía CNBV sobre Régimen Simplificado de Identificación PLD/FT (octubre 2025).

digid banner bg

Firma y protege tus contratos digitales con DIGID

Gestiona contratos digitales de forma inteligente

digid banner bg

Firma y protege tus contratos digitales con DIGID

Gestiona contratos digitales de forma inteligente