Ramiro Caresani, Belo: «Es el fraude el que nos va marcando qué herramientas tenemos que usar para combatirlo»

Con el exponencial avance que se experimentó en el campo de la Inteligencia Artificial (IA) durante los últimos años, las técnicas para cometer fraude también fueron complejizándose, un desafío cada vez más importante para las áreas de compliance de las plataformas de servicios financieros (fintech), un sector clave en la lucha contra el lavado de activos.

«El fraude sucede siempre, lo que cambia es si vos lo estás detectando o si se te está pasando», planteó el Compliance Officer de Belo, Ramiro Caresani, en diálogo con este medio. Desde su perspectiva, sin embargo, en el último año se observó «una evolución muy grande en un tiempo muy corto» en las estrategias de los cibercriminales para esquivar los sistemas de seguridad de las fintechs.

«Incluso hay casos en donde te alteran el documento de identidad de una forma que no es ni siquiera identificable al ojo humano», narró Caresani, quien será además uno de los oradores en el webinar sobre prevención de fraude en Argentina organizado por SIMALCO.

«Tenemos que estar continuamente atentos y auditando esos registros y auditando a nuestros proveedores, porque que yo no tenga inputs en los últimos tres meses de, por ejemplo, intentos de fraude, no quiere decir que no esté ocurriendo fraude en mi plataforma, sino que quizás probablemente no lo estoy detectando«, ahondó.

En su opinión, «podría elevarse muchísimo más la vara que tienen que romper los fraudulentos» si existiera «una base privada de biometrías de los clientes argentinos a la que puedan acceder, de forma privada y exclusiva con trazabilidad, solamente las entidades financieras».

Y consideró que las recientes filtraciones de datos que padeció el sector público argentino «demuestran que el sistema informático de los entes gubernamentales no está lo suficientemente fornido como para delegarles una información de tal riesgo».

La evolución de la IA en el fraude

– ¿Qué cosas comenzaron a notar vinculado a la IA dentro del mundo del compliance, más por el lado de soluciones o por el lado de riesgos?

Para inicios de 2024 es cuando recuerdo que empezamos a tener casos de detección de alteraciones con inteligencia artificial y empezó todo ese boom de la industria de estar powered by AI.

Hay un dicho que dice que el fraude siempre corre por delante de las soluciones que buscan combatirlo, estamos continuamente corriendo por detrás a este fenómeno de fraude que sucede. Es el fraude el que nos va marcando qué herramientas tenemos que usar para combatirlo y es combatirlo con la misma medicina.

El momento de mayor injerencia en que puede atacar un fraudulento en su vida útil en una entidad financiera es el momento del onboarding, el momento del Know Your Costumer (KYC), porque es cuando puede alterar alguno de los dos inputs que las herramientas de KYC utilizan para verificar a un usuario, es decir, o la biometría o el ID.

Empezaron a darse casos de suplantación de identidad, de alteración de documentos, casos de deep fakes, de ataques de inyección, en ese orden.

Eso al ojo humano era fácilmente detectable, pero las entidades financieras tratamos y tenemos que automatizar estos procesos porque tenemos un flujo de aperturas de cuentas muy grande, entonces es imposible que tengamos la cantidad de analistas para revisar uno a uno de forma manual cada onboarding.

Esto lo que generaba es que, si la automatización del proveedor no lo detectaba, pasaban tandas de fraudulentos. De esa forma, podían generar estas «cuentas mula».

Lo que tenemos hoy en día es una evolución muy grande en un tiempo muy corto, incluso hay casos en donde te alteran el documento de identidad de una forma que no es ni siquiera identificable al ojo humano.

Está tan bien falsificada que al ojo humano es indetectable si no tenemos tecnologías que te brinde el proveedor que puedan detectar estas alteraciones o mismo bases biométricas, como por ejemplo, tiene el RENAPER (Registro Nacional de las Personas) del sistema de identidad digital que me dice si su biometría es esa o no.

Fue muy veloz la evolución de las herramientas de fraude para realizar ataques, pero también están siendo bastante reactivas y efectivas en términos de tiempo las soluciones o las formas de paliar lo que se están encontrando.

Esto obviamente siempre responde a desarrollos internos de cada una de las entidades, pero generalmente te diría que el 90% de las entidades financieras radicamos nuestros esfuerzos de KYC en un proveedor, casi nadie hace un desarrollo propio, excepto empresas de muchísima envergadura.

Ahí tenemos una necesidad muy grande de que el propio proveedor quiera invertir en ayudarnos a combatir estas nuevas tecnologías de falsificación.

La vigilancia constante

– ¿En ese periodo hubo un incremento en el intento justamente de cometer fraude?

Creo que no es que hubo una curva ascendente en términos de cantidad de usuarios fraudulentos, sino que el fraude es un fenómeno continuo que vas manteniendo controlado. El fraude sucede siempre, lo que cambia es si vos lo estás detectando o si se te está pasando.

Por eso los que trabajamos en compliance tenemos que estar continuamente atentos y auditando esos registros y auditando a nuestros proveedores, porque que yo no tenga inputs en los últimos tres meses de, por ejemplo, intentos de fraude, no quiere decir que no esté ocurriendo fraude en mi plataforma, sino que quizás probablemente no lo estoy detectando.

Aunque la curva es continua, es más creciente porque quien te viene a hacer fraude no te viene a hacer fraude con una cuenta, lo intenta hacer con treinta cuentas y cuando te detectan la vulnerabilidad, atacan masivamente.

Si tenés un incidente de fraude, generalmente tenés que auditar para atrás los últimos, por lo menos, 6 meses. Tenés que «peinar» tu base de datos para detectar posibles coincidencias y levantar y erradicar a todos. De esa forma también detectas esos patrones y generar acciones tendientes a que no vuelvan a repetirse esos actos fraudulentos.

Es un esfuerzo conjunto, sobre todo cuando tenés un volumen tan grande de aperturas diarias. Es lograr una sincronía entre el proveedor que funcione bien, que las herramientas automatizadas de detección funcionen bien, estén adaptadas a tu base y a tus necesidades, además de tener un equipo de analistas que supervise eso y que detecte posibles patrones que te pueden llevar a descubrir actividades inusuales.

A mí no me gusta decir que esto es 100% automatizable porque el ojo humano hay muchas veces que es sigue siendo necesario y hay cosas que la tecnología, la IA y las automatizaciones todavía no han logrado suplantar.

El diálogo dentro del ecosistema y las dudas con el sector público

– ¿Al compartir proveedores en muchos casos, hay diálogo entre los distintos jugadores locales cuando descubren alguna actividad fraudulenta?

Si. Por un lado, tenés la colaboración entre entidades financieras. Hace unos años surgió lo que es la base CPF, que fue una iniciativa de COELSA, en donde todas las entidades financieras del mercado argentino intentaron replicar cuestiones que se han hecho en otras jurisdicciones, como la Unión Europea, en donde las entidades colaboran.

Por ejemplo, si detecto un fraudulento, lo comparto al resto de las entidades para que estén al tanto de que ese fraudulento está operando en el sistema financiero argentino.

Todo lo que es trabajar de forma conjunta y colaborativa, sobre todo si es iniciado por entes gubernamentales y gestionado por entes gubernamentales, es muchísimo mejor. Después también hay iniciativas de la Cámara Fintech para poder hacer esto. Pero mi opinión es que hay una línea muy fina ahí en todo lo que es fraude y ciberseguridad con protección de datos personales.

– ¿Por qué?

Tengo la teoría de que podría elevarse muchísimo más la vara que tienen que romper los fraudulentos si nosotros tuviéramos una base privada de biometrías de los clientes argentinos a la que puedan acceder, de forma privada y exclusiva con trazabilidad, solamente las entidades financieras para corroborar por API que la persona que está onborading es la misma que es la titular de ese documento.

Pero ahí lo qué está en juego son los datos personales de cada persona. Una base privada que tenga las biometrías de los 50 millones argentinos es una base de datos muy delicada.

Pero después tenés situaciones como las filtraciones del RENAPER y otras bases públicas muy importantes que demuestran que el sistema informático de los entes gubernamentales no está lo suficientemente fornido como para delegarles una información de tal riesgo y que quede en sus manos.

* Ramiro Caresani será uno de los expositores del webinar «Prevención de fraude: IA como aliada en el compliance 2025» organizado por Simalco en colaboración con Sumsub. Quienes deseen inscribirse podrás hacer en el siguiente enlace.

‍