El fraude en aplicaciones criptográficas nunca ha sido tan alto

Una encuesta reciente de Pew Research mostró más del 86% de los estadounidenses que ahora conocen las criptomonedas, y la cantidad de usuarios de criptomonedas ahora se estima en más de 300 millones. El aumento de la conciencia también ha atraído la atención de los estafadores, y el criptofraude alcanzó su punto máximo el año pasado. Con un abundante conjunto de técnicas de fraude y estafas creativas, los estafadores han logrado no solo acceder y retirar fondos de las cuentas criptográficas de las víctimas, sino también abrir nuevas cuentas para usarlas en el lavado de dinero. 

El fraude en aplicaciones criptográficas nunca ha sido tan alto

Crecieron los delitos relacionados con las criptomonedas 79% en 2021, con más de $ 14 mil millones de los fondos depositados en billeteras criptográficas vinculados a actividades delictivas. En una entrevista reciente a través de Telegram, los estafadores admitieron la apertura entre 1,500 a 2,000 cuentas por mes en intercambios criptográficos utilizando identidades sintéticas. 

Estas son identidades falsas construidas a partir de información personal robada, y dichas cuentas se utilizan para el lavado de dinero u otros tipos de delitos lucrativos. Hoy en día, en los foros de hackers profesionales, es posible comprar una cuenta de intercambio criptográfico verificada sintética por $ 150 y leer sugerencias y consejos sobre cómo abrir una nueva cuenta con una identidad sintética falsa.

Conozca a su cliente y a su estafador

Conozca a su cliente (KYC) y las regulaciones contra el lavado de dinero (AML) requieren que las organizaciones de servicios financieros verifiquen la identidad de los clientes. Como parte de la apertura de una nueva cuenta; sin embargo, la detección de fraude de hoy deja la puerta abierta para los estafadores en aplicaciones criptográficas. Equilibrar la necesidad de seguridad y atrapar a los estafadores en la puerta principal es un desafío cuando se trata de incorporar nuevos usuarios lo más rápido posible. 

Actualmente, una de las obligaciones de KYC para los intercambios de criptomonedas es la verificación de direcciones, según el Ley de secreto bancario (BSA). Además, los intercambios de cifrado deben tener un Programa de identificación de clientes (CIP), y una de las piezas de información requeridas en el CIP es la dirección y un comprobante de dirección.

Andre Ferraz, cofundador y director ejecutivo de Incognia, brinda autenticación móvil sin fricciones a bancos, criptointercambios, fintech y billeteras para obtener más ingresos móviles y menos pérdidas por fraude. Dice: "En Incognia, analizamos de cerca 19 aplicaciones criptográficas móviles para ver cómo estaban equilibrando la seguridad y la fricción al revisar su proceso de incorporación para ver cómo se verifica la dirección del usuario como parte de la verificación de identidad".

Las técnicas fraudulentas utilizadas para pasar la validación de la dirección en la apertura de una nueva cuenta incluyen:

Identificaciones falsas y sintéticas – Una identificación sintética se compone de una combinación de piezas robadas de información de identificación personal junto con información falsa, por ejemplo, un SSN robado, dirección, nombre, licencia de conducir falsa. Los elementos de identificación individuales pueden ser reales, ya sea robados o comprados en la Dark Web, incluso pueden provenir de diferentes personas y se combinan para crear una identidad sintética. Usando esta identificación sintética, es posible pasar la verificación de documentos con documentos combinados y engañar a los sistemas de reconocimiento facial menos sofisticados.

Identificaciones y rostros reales – Los estafadores pagan tan solo $ 7 por personas dispuestas a pasar la verificación en un intercambio de cifrado utilizando su propia identidad real, documentos de identificación reales y enfrentan y entregan la cuenta para la venta.

Suplantación de ubicación – Al contratar aprendices para falsificar una verificación de identidad, los estafadores profesionales explican otra manera de falsificar el cumplimiento y, por lo general, eficaz: falsificar la ubicación del teléfono móvil. Parte de las instrucciones en los foros de la web oscura establece que los perpetradores deben usar una red privada virtual (VPN) para disfrazar una dirección IP que les permita falsificar su ubicación al abrir la cuenta. Entonces, cualquier estafador en el otro lado del mundo podría abrir una cuenta con una identificación falsa y fingir que está, por ejemplo, en la ciudad de Nueva York.

La parte de suplantación de ubicación de las fábricas de apertura de cuentas es clave, ya que detectar con éxito la suplantación de ubicación es una forma rápida de detectar a un estafador. Si un usuario está falsificando su dirección, es una gran bandera roja durante la verificación de identidad.

La verificación de direcciones no es solo para el cumplimiento de KYC, sino que también es una herramienta poderosa para prevenir el fraude

Durante la incorporación, las aplicaciones criptográficas probadas emplearon varias técnicas para verificar una nueva dirección de usuario y verificar el cumplimiento con el país de residencia. Las técnicas más comunes utilizadas incluyen: -

Verificación de dirección usando documentos cargados – Solicitar al usuario que cargue una identificación o documento para verificar, a través del reconocimiento óptico de caracteres (OCR), para hacer coincidir los datos cargados con la información proporcionada durante la incorporación. La información en la identificación podría tener referencias cruzadas con bases de datos estáticas, como el DMV o las oficinas.

Un problema de confiar en hacer ping a bases de datos estáticas es que puede que no haya bases de datos de direcciones disponibles en línea en muchas jurisdicciones internacionales. Incluso cuando existen bases de datos de direcciones, pueden estar incompletas y, en ocasiones, proporcionar información fechada.

El mayor problema es que la mayoría de estas bases de datos estáticas se han filtrado en el pasado y los datos están disponibles para su compra en foros en línea, lo que facilita que los estafadores utilicen esta información para crear cuentas con identidades falsas o sintéticas.

Dirección IP – Es una de las formas más comunes que aún existen para que las aplicaciones móviles determinen si una persona está abriendo una nueva cuenta desde donde está reclamando, ya sea el país de residencia o el código postal. La información completada por el usuario se compara con la ubicación de la dirección IP.

Hoy en día, la ubicación se falsifica de forma rutinaria utilizando una variedad de técnicas. Hay cinco técnicas comunes. los estafadores utilizan para falsificar su ubicación, incluidas VPN, Proxies, aplicaciones de suplantación de GPS, emuladores, instrumentaciones y manipulación de aplicaciones. Las VPN y los proxies son la solución preferida de los estafadores contra la verificación de la ubicación de la dirección IP.

En el estudio reciente de Incognia, descubrimos que las técnicas actuales de verificación de direcciones utilizadas por diecinueve aplicaciones móviles criptográficas líderes son una de las formas más frágiles de KYC durante la incorporación. Diez de catorce intercambios requerían que el nuevo usuario ingresara la información de la dirección declarada, y cuatro aplicaciones requerían el ingreso del país de residencia o el código postal.

Aún así, ninguna de las diecinueve aplicaciones requería prueba de domicilio mediante geolocalización o mediante documentos cargados, como una factura de servicios públicos o un extracto de tarjeta de crédito. En otros países, como el Reino Unido, se requiere cargar un documento para probar la dirección, pero en los EE. UU., normalmente no se solicita, presumiblemente porque agrega fricción a la incorporación.

De las diez aplicaciones que requieren información de la dirección, solo cinco requerían una imagen de la licencia de conducir, que alternativamente podría usarse para verificar la dirección a través de OCR y comparar los datos con una base de datos estática como la base de datos del DMV. Por lo general, la información estática en las bases de datos está incompleta o desactualizada.

Los requisitos de las regulaciones KYC y AML son la principal fuente de fricción para la incorporación en los intercambios de cifrado. Y esta es la razón principal por la que la mayoría de las aplicaciones utilizan un proceso de incorporación suave. Esto también se denomina incorporación progresiva, un enfoque en el que la parte más pesada de la verificación de identidad se deja para cuando el usuario hace su primer intento de depositar fondos o intercambiar criptografía. En particular, los dos intercambios que no admiten la incorporación progresiva y que requieren un escaneo de identificación también fueron los que tuvieron la mayor fricción durante la incorporación.

Para obtener más información sobre las técnicas utilizadas por las principales aplicaciones de cifrado para la verificación de identidad en la incorporación y también, cuáles fueron las aplicaciones móviles que presentaron más fricción para los usuarios, descargue el Informe de fricción de la aplicación móvil Incognia Crypto: incorporación.

Este blog contiene extractos del Informe de fricción de la aplicación móvil Crypto de Incognia: incorporación. Para descargar el informe completo, haga clic aquí.